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Abstract of DE1 9829643 

The method involves generating a first random 
number as secrete information by each signing 
person. Information are generated using a public 
parameter and the first random number. The 
information and two half-wave functions and 
identification information used by the signing 
person are published. A second random number 
is generated and second information are 
generated by inserting the public parameter and 
the second random number in a function. A 
signature is generated with a signature function 
which is generated with a parameter. Information 
which include identification information are sent 
to the next signing person in line. The last signing 
person sends the information to the verifier. The 
verifier calculates the first information from the 
public information with respect to the 
identification information and calculates the half- 
wave functions. The second information are 
calculated and checks if the signatures are valid 
by comparing two equations. 
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© Verfahren und Vorrichtung zur Block-Verifikation mehrerer digitalerSignaturen und Speichermedium, auf dem 
das Verfahren gespelchert ist 

® Bei Empfang einer Nachricht (ID'j.v X'j^, m';. 1f Y^) von 
einem Unterzeichner ) erzeugt ein Unterzeichner i eine 
Zufallszahl r f , berechnet dann x,-g''mod p unter Verwen- 
dung von offentlichen Informationen p, q und g und setzt 
dann X',=(XVv X,), nVplmVv rrij), berechnet dann 6j= 
f((X'j, m'j), dj=hj(X' if m'j) mit offentlichen Einweg-Funktio- 
nen fj und hj, berechnet yj^Vj.-j+djri+ejSj) mod q unter Ver- 
wendung einer geheimen Zufallszahl Sj, setzt ID'^dD'^, 
IDj) und sendet Information (ID'j, X';, m'j, Y'j) an den nach- 
sten Unterzeichner (i+1). Ein Verifizierer berechnet e ( - und 
dj mit den Einweg-Funktionen fj und h { unter Verwendung 
von X' L und m* L , die in der empfangenen Information 
(ID' L , X' l , m' L , Yi_) enthalten sind, und pruft, ob 
s^.xtt -^in»dp» unc j verifiziert dadurch Signaturen der Un- 
terzeichner en-bloc. 
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Beschreibung 



Die vorliegende Erfindung betrifft ein Verfahren und eine Vorrichtung, die es einem Verifizierer ermoglichen, eine 
Block- Verifikation (Verifikation en-bloc) von Einzelsignaturen, Mehrfachsignaturen oder Uberlagerungssignaturen 
5 durchzufuhrcn, die elektronisch von mehreren Unterzeichnern einem oder mehreren in elektronischer Form vorliegen- 
den Dokumenten in einem System hinzugefugt wurden, das zur Entscheidungsfindung dient, indem das Dokument oder 
die Dokumente unter den Unterzeichnern umlaufen. Die Erfindung betrifft auBerdern ein Speichermedium, auf dem das 
Verifikationsverfahren aufgezeichnet ist. 

Ein typisches digitales Signaturschema verwendet das RSA-Verschliisselungssystem (R.L. Rivest, et al., "A Method 
to for Obtaining Digital Signatures and Public-Key Cryptosy stems", Communications of the ACM, Band, 21, No. 2. Seiten 
120-126 (1978)). Das RSA-Verschliisselungssystem wird nachfolgend beschrieben. 

Ein Unterzeichner A erzeugt einen Signaturschlussel (d, N) und einen Verifikationsschlussel (e, N), die die nachstc- 
henden Bedingungen erfullen 

is N = PxQ 

exd^l (mod L), wobei L = LCM {(P-l), (Q-l)}. 

Dann verbffentlicht der Unterzeichner A den Verifikationsschlussel, wahrend er den Signaturschlussel geheim halt. 
20 LCM {a, b} driickt dabei das kleinste gemeinsame Vielfache der ganzen Zahlen a und b aus, wobei angenommen wird, 
daB P und Q zwei verschiedene groBe Primzahlen sind. Weiterhin steht a = b (mod L) dafiir, daB a-b ein Vielfaches von L 
ist. 

Das RSA-Verschliisselungssystem ist ein Verschliisselungssystem, dessen Sicherheit auf der Schwierigkeit beruht, 
eine Zeriegung von N in Primzahlfaktoren durchzufuhren, wenn N groB ist (dies wild spater als das "Faktorzerlegungs- 
25 problem" bezeichnet). Es ist schwierig, die d-Komponente des geheimen Signaturschlussels aus dem veroffentlichten 
Verifikationsschlussel (e, N) zu errechnen. 

Ein Verifizierer B halt den Verifikationsschlussel (e, N) des Unterzeichners A in Verbindung mit dessen Identifikati- 
onsinformation (ID). Ein vertrauenswiirdiges Zentrum bzw. eine vertrauenswiirdige Institution kann in machen Fallen 
solche Verifikationsschlussel in der Form eines offentlichen Informauonsverwaltungsverzeichnisses halten. 
30 Eine Signaturfunktion D und eine Verifikationsfunktion E sind wie folgt definiert: 

D(m) = m d mod N 

E(y) = y e modN. 

35 

Man kann zeigen, daB die folgende Gleichung fur eine ganze Zahl m erfullt ist, fur die gilt O < m < N: 
E (D(m)) = m, 

40 wobei a mod N den Rest der Division a durch N darstellt. 

Das digitale Signaturschema unter Verwendung des RSA-Verschlusselungssystems ist wie nachfolgend beschrieben. 
Der Unterzeichner A erzeugt f(m) unter Verwendung einer Einweg-Funktion f aus einem Dokument m, fugt dann unter 
Verwendung der geheimen Signaturfunktion D eine Signatur y = D(f(m)) hinzu und sendet die Kombination (ID, m, y) 
seiner Identifikationsinformation (ID), des Dokuments m und der Signatur y als unterzeichnete Nachricht an den Verifi- 

45 zierer B. 

Der Verifizierer B holt die Information iiber den Verifikationsschlussel (e, N) des Unterzeichners A von dem offentli- 
chen Informations verwaltungsverzeichnis unter Verwendung der Identifikationsinformation ID des Unterzeichners als 
Schlussel, berechnet dann E(y) = y* mod N aus der y-Komponente der unterzeichneten Nachricht unter Verwendung des 
erhaltenen Verifikationsschlussels (e, N) und priift ob E(y) mit f(m) ubereinstimmt, welches mit Hilfe der Einweg-Funk- 

50 tion f von m abgeleitet wurde. Wenn E(y) = f(m), urteilt der Verifizierer B, daB der Sender der echte Unterzeichner A ist 
und die unterzeichnete Nachricht (ID, m, y) nicht verfalscht wurde, da ausschlieBlich der wahre Unterzeichner A die Si- 
gnaturfunktion D(m) = m d mod N, d. h. die vorgenannte d-Komponente kennt. 

Die hier erwahnte Einweg-Funktion f ist eine Funktion, mit der f(x) leicht aus x errechnet werden kann, wahrend es 
schwierig ist, x aus f(x) zu ermitteln. Die Einweg-Funktion f kann unter Verwendung eines traditionellen schnellen Ver- 

55 schlusselungssystems erstellt werden, beispielsweise eines DES-Verschlusselungssystem (Data Encryption Standard, 
Federal Information Processing Standards Publication 46. 1977). Unter Verwendung schneller Komponenten wird die 
Zeit zur Errechnung der Funktion f so gut wie vernachlassigbar. Die nachfolgend erwahnte Einweg-Funktion ist eine sol- 
che, mit der ein Wert fur ein x beliebiger Datenlange errechnet werden kann. 
Die ganze Zahl N zur Verwendung bei dem RSA-Verschliisselungssystem umfaBt gewohnlich eine Lange von 308 De- 

60 zimalstellen (1024 Bits) oder so. Die d-Komponente des Signaturschlussels ist ebenfalls etwa 1024 Bits lang. Es ist im 
Stand der Technik bekannt, daB ein Quadrier- und-Multiplizier-Algorithmus zur Berechnung der Signaturfunktion d ver- 
wendet wird. Die Berechnung einer ganzen Zahl mit 308 Stellen (einschlieBlich einer Molulo-N-Rechnung) muB im Mit- 
tel 1536mal durchgefuhrt werden, was dem Unterzeichner A zur Signaturerzeugung einen schweren Rechenaufwand 
auferlegt. 

65 Der Quadrier-und-Multiplizier-Algorithmus zur Berechnung von x a mod N ist wie nachfolgend beschrieben. 
SchrittSl: z = 1 

Schritt S2: Die folgenden Schritte S2-1 und S2-2 werden wiederholt, bis ein numerischer Index ausgehend von 0 lal-1 
wird (wobei angenommen wird, daB lal die Anzahl von Bits von a darstellt). 
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<)► Schritt S2- 1 : z' = z 2 mod N 



Schritt S2-2: wenn aj - 1 , erneucre z mit z = z'x mod N und kehrc zum Schritt S2- 1 zuriick (a, ist dcr Wert, 0 oder 1 , des 
i-ten Bits von a); 

wenn ai = 0, kehre zu Schritt S2-1 zuruck, ohne z zu erneuem. 
Schritt S3: gib zaus. 5 
Die Quadrier-und-Multiplizier-Algorithmus ist beispielsweise beschrieben in Douglas R. Stinson, "CRYPTOGRA- 
PHY, Theory and Practice", CRC Press p 1 27, 1 995. 

Mit dem Ziel der Losung des Problems der zunehmenden Rechenbelastung fur den Unterzeichner zur Signaturerzeu- 
gung, sind interaktive Prufungen vorgeschlagen worden, fur die das Fiat-Shamir-Schema und das Schnorr-Schema typi- 
sche Beispiele sind (vgl. A. Fiat und A. Shamir, "How to prove yourself: practical solutions to identification and signa- 10 
ture problems", Advances in Cryptology-Crypto 86. Springer- Verlag, Seiten 186-194; C. F Schnorr, "Efficient Identifi- 
cation and Signatures for smart Card", Advances in Cryptology-EUROCRYPT7 89 Springer- Verlag Seiten 235-251; und 
M Tompa and H. Woll, "Random Self-Reducibility and Zero Knowledge Interactive Proofs of Possession of Informa- 
tion", Proceedings of the 28th IEEE Symposium on the Foundation of Computer Science, Seiten 472-482 (1987)). 
Eine digitale Signatur mittels des Schnorr-Schemas wird nachfolgend beschrieben. 15 
Eine vertrauenswurdige Institution veroffentlicht zwei groBe Primzahlen p und q, die in einer solchen Beziehung mit- 
einander stehen, daB q ein MaB von p-1 darstellt. Die Institution veroffentlicht auBerdem eine ganze Zahl g e (Z/pZ)* = 
{1,2,..., p-1 } mit dem Grad q. 

Schritt SI: Der Unterzeichner A generiert eine Zufallszahl s e (Z/qZ) = (0, 1, 2,. . q-1 }, errechnet dann offentliche 
Information I durch 20 

I = g s mod p (1) 

und veroffentlicht ein aus Identifikationsinformation (ID) und der Information I bestehendes Informationspaar. 

Der Unterzeichner A durchlauft die folgende Prozedur, urn dem Verifizierer B zu beweisen, daB das Dokument oder 25 
die Nachricht m wahr bzw. echt ist. 

Schritt S2: Der Unterzeichner A generiert eine Zufallszahl r e (Z/qZ) und berechnet 
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X = g r mod p (2) 

Schritt S3: Der Unterzeichner A errechnet unter Verwendung der Einweg-Funktion f mittels der folgenden Gleichung 
eine ganze Zahl e e (Z/qZ): 

e = f(X,m) (3) 

Schritt S4: Der Unterzeichner A erzeugt die Signatur y durch 

y = r + er mod q (4) 

und sendet {ID, m, X, y } als unterzeichnete Nachricht an den Verifizierer B. 40 
Schritt S5: Der Verifizierer B errechnet unter Verwendung der Einweg-Funktion f die ganze Zahl e e (Z/qZ) durch 

e = f(X,m) (5) 

Schritt S6: Der Verifizierer B priift, ob die nachfolgende Gleichung erfullt ist. 45 
g* = XF(modp) (6) 

wobei I offentliche Information entsprechend der Identifikationsinformation ID ist. 

Aus der Art der Erzeugung der Signatur y ergibt sich g y s g 1 (g s ) e & XP (mod p); wenn somit Gleichung (6) erfullt 50 
ist, erkennt der Verifizierer B das Dokument m als von dem Unterzeichner A ordnungsgemaB unterzeichnet an. 

In den oben beschriebenen Schritten S2 bis S4 konnte die Signatur des Unterzeichners gefalscht werden, falls {ID, X, 
m, y} als eine unterzeichnete Nachricht gesendet wird, wenn die ganze Zahl e e (Z/qZ), fiir die e = f(X, m) erfullt ist, 
durch Berechnung von X e (Z/pZ)* herausgefunden werden konnte, welches Gleichung (6) erfullen, nachdem die gan- 
zen Zahlen e E (Z/qZ) und y € (Z/qZ) geeignet gewahlt wurden. Da die Wahrscheinlichkeit, mit der die Verifikations- 55 
gleichung e = f(m, X) erfullt ist, jedoch 1/q ist, hangt der Komplexitatsgrad der mit der Falschung der Signatur verbun- 
denen Berechnung vom Wert q ab. In der folgenden Beschreibung wird die Anzahl von Bits der Primzahl p durch Ipl dar- 
gestellt. 

Bei dem Schnorr-Schema beinhaltet der SignaturerzeugungsprozeB beim Sender eine Multiplikation (einschlieBlich 
Modulo-p-Rechnungen) von ganzen Zahlen mit Ipl Bits mit einer durchschnittlichen Haufigkeit von 3/2lql, eine einzelne 60 
Multiplikation (einschlieBlich Modulo-q-Rechnungen) von ganzen Zahlen mit IqIBits sowic eine einzelne Addition (ein- 
schlieBlich Modulo-q-Rechnungen) der ganzen Zahlen mit Iql Bits. 

Wahrend bei dem Voranstehenden die unterzeichnete Nachricht (ID, X, m, y } ist, ist es auch moglich, e anstelle von X 
zu verwenden, um (ID, e, m, y} zu liefern. In diesem Fall erfolgt eine Prufung daraufhin, ob die Relation e = f(X, m) er- 
fullt ist, und zwar durch Berechnung von X durch X = (g'OGT mod p. Wenn lei < 1X1, wird die Nachricht mit lety.terem 65 
kiirzer. 

Man betrachte nun den Fall, daB mehrere Unterzeichner verschiedener Dokumente auf der Basis der uberlagerten Si- 
gnatur oder Uberlagerungssignatur unterzeichnen. Ein typisches Beispiel der Verwendung des Uberlagerungssignatur- 
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Or schemas ist folgendes. Eine Zertifikationsinstitution (Autoritat) CA garantiert beispielsweise die Korrespondenz zwi- 

schen der offentlichen Identifikationsinformation ID und offentlicher Information I des Unterzeichners durch eine digi- 
tale Signatur T = D C a (ID, I)> die einem Dokument (ID, I) beigefugt ist, und sendet die Signatur T dem Unterzeichner. 
^ Der Unterzeichner generiert eine Signatur Did (m, T), fur das aus dem Dokument in und der Signatur T bestehende Paar, 

5 und zwar unter Verwendung der Geheiminformation entsprechend der offentlichen Information I, und sendet die Signa- 
tur Did (m, T) an den Verifizierer, wodurch dieser in die Lage versetzt wird, die Signatur Did (m, T) des Unterzeichners 
und die Signatur T der Zertifikationsinstitution CA zu vcrifizicren. 

Bei dem Uberlagerungssignaturschema ist es wichtig, die von dem Unterzeichner zur Signaturerzeugung zu vcrarbei- 
tende Informationsmenge gering zu halten, die von dem Verifizierer zur Signaturveriflkation zu verarbeitende Informa- 
10 tionsmenge niedrig zu halten und eine Zunahme der Signaturkomponenten zu verhindem. 

Bei dem von dem RSA-Verschlusselungssystem Gebrauch machenden digitalen Signaturschemata, unterzeichnen je- 
weilige Unterzeichner i Dokumente iru in sequentieller Reihenfolge, um Information 1\ (mt, . . D 2 (f(m 2 , Di(f(mi)))) 
. . .) zu schaffen, wodurch die (jberlagerungssignaturfunktion implementiert wird. In diescm Fall stellt der zur Signatur- 
erzeugung erforderlich groBe Rechenumfang ein Problem dar. 
15 Bei direkter Anwendung des Schnorr-Schemas auf das Uberlagerungssignaturschema wird es fur moglich gehalten, 
ein Verfahren des Anfugens von Information {ID, X\, y,} zu Dokumenten (mi, . . ., mn, mj fur jeden Unterzeichner i 
einzusetzen. Die Xj-Komponente ist Ipl Bits lang und die yi-Komponente Iqi Bits lang. Wenn L Unterzeichner unterzeich- 
nen, wird schlieBlich cine Information mit (Ipl + Iql) x L Bits an eine Nachricht angefiigt, d. h. die Idcntifikationsinfor- 
mation IB von L Unterzeichnern und Dokumente (mi, . . ., mj. Auch in diesem Fall fiihrt die VergroBerung der Signa- 
20 turkomponente (X-Komponente, y-Komponente) zu einem Problem. 

Als nachstes erfolgt eine Beschreibung des Mehrfachsignaturschemas, bei dem mehrere Unterzeichner ein Dokument 
in sequentieller Reihenfolge unterzeichnen. Mit dem digitalen Signaturschema unter Verwendung des RSA-Verschliis- 
selungssystems ist es moglich, das Mehrfachsignaturschema zu implementieren, wenn die mehreren Unterzeichner auf 
einer Signatur y einer Nachricht {ID, m, y} nacheinander unterzeichnen (d.h. Dl . . . Di(f(m))). Auch bei diesem 
25 Schema stellt sich das Problem eines hohen Rechenaufwands zur Signaturerzeugung. 

Bei direkter Anwendung des Schnorr-Schemas auf das Mehrfachsignaturschema wird es fur machbar gehalten, ein 
Verfahren einzusetzen, bei dem Information {ID, X, y } einer Nachricht m fur jeden Unterzeichner hinzugefugt wird. Die 
X-Komponente ist Ipl Bits lang und die y-Komponente Iql Bits lang. Wenn L Unterzeichner die Nachricht in sequentieller 
Reihenfolge unterzeichnen, wird schlieBlich Information mit (Ipl + Iql) X L Bits einer Nachricht hinzugefugt (der Identi- 
30 fikationsinformation von L Unterzeichnern und dem Dokument m). Auch in diesem Fall bewirkt eine Zunahme der Si- 
gnaturkomponente (X-Komponente, y-Komponente) ein Problem. 

Bezliglich des Mehrfachsignaturschemas ist ein solches vorgeschlagen worden, das die Verringerung sowohl der X- 
als auch der y-Komponente auf eine erlaubt, und zwar durch Akkumulieren der Werte der X- und der y-Komponenten fur 
jeden SignaturerzeugungsprozeB (K. Ohta und T Okamoto, "A Digital Multi-Signature Scheine Based on the Fiat-Sha- 
35 mir Scheme", Advances in Cryptology-ASIACRYPT91, Springer- Verlag, Seiten 139-148). Da dieses Schema jedoch 
zwei Durchlaufe einer Zirkulation der Nachricht zu den Unterzeichnern beinhaltet, erfordert die Mehrfachsignatur durch 
L Unterzeichner (2L-1) Kommuniationsdurchlaufe. Die Zunahme der Anzahl von Kommunikationen fiihrt damit zu ei- 
nem Problem. 

Mit dem Mehrfachsignaturschema, das zwei Durchlaufe der Zirkulation einer Nachricht zu Unterzeichnern beinhaltet, 

40 ist es unmoglich, das Uberlagerungssignaturschema zu realisieren, bei dem die von den einzelnen Unterzeichnern jeweils 
zu unterzeichnenden Dokumente verschieden sind. Der Grund dafur besteht darin, daB, weil alle Dokumente, beispiels- 
weise m! und m 2 , im ersten Zirkulationsdurchlauf bestimmt werden mussen, die Signatur der Dokumente (m h m 2 ) nicht 
nach Erzeugung der Signatur des Dokuments mi erzeugt werden kann. 
Es ist ein Schema zur Modifizierung einer EIGamal-Signatur fur die Mehrfachsignatur vorgeschlagen worden (At- 

45 sushi Shimbo, "Multi signature Schemes Based on the EIGamal Scheme", The 1994 Symposium on Cryptography and 
Information Security SQS94-2C). Diese Literaturstelle beinhaltet jedoch nichts uber die tiberlagerungssignaturverwen- 
dung. Bei dem vorgeschlagenen modifizierten Schema ist es schwierig, die Schnorr-Signatur mit einem Zirkulations- 
durchlauf zu realisieren, und die Sicherheit aller der vorgeschlagenen Schemata wurde nicht strikt bewertet (siehe "Con- 
clusion" auf Seite 9 der Literaturstelle). 

50 Bei einem das digitale Signaturschema verwendenden System tritt gelcgentlich die Situation auf, wo mehrere Signa- 
turen an einer Stelle zusammenkommen und verifiziert werden. Beispielsweise kommt elektronisches Geld zum Ausga- 
beinstitut zuriick, wo seine Giiltigkeit verifiziert wird. In einem solchen Fall erlaubt die Vferwendung der interaktiven 
Priifung eine wesentliche Verringerung des zur Signaturerzeugung erforderlichen Rechenaufwands. Jedoch kann die zu 
verarbeitende Rechenmenge zur Signaturveriflkation manchmal zunehmen. Beispielsweise beinhaltet das Schnorr- 

55 Schema eine Multiplikation von ganzen Zahlen mit Ipl Bits (einschlieBlich Modulo-p-Rechnungen) mit einer durch- 
schnittlichen Haufigkeit von 3/2lql, wahrend bei dem RSA-Schema, da e = 3 ohne Beeintrachtigung der Sicherheit er- 
reichbar ist, die Anzahl von Multiplikationen von ganzen Zahlen mit INI Bits (einschlieBlich Modulo-N-Rechnungen) le- 
diglich zwei betragt. 

Es soli nun eine Block- Verifikation mehrerer Signaturen bei den oben erwahnten digitalen Signaturschemata beschrie- 
60 ben werden. 

Da das von dem RSA-Verschlusselungssystem Gebrauch machende digitale Signaturschema auf das Problem des ho- 
hen Rechenaufwands zur Signaturerzeugung stoBt und fiir jeden Unterzeichner einen anderen Modulowert Nj verwendet, 
wird es als unmoglich angesehen, Ni und Nj auf einmal zu verifizieren. 

Wenn das Schnorr-Schema ohne Modifikationen verwendet wird, unterzeichnet der Unterzeichner i eine Nachricht irq 
65 durch Hinzufugen der Information {Ity, X L , yi}, wobei die Xi-Komponente Ipl Bits lang ist und die Vj-Komponente Iql 
Bits lang ist. Tn dem Fall, wo L Unterzeichner i jeweils ein andercs Dokument in unterzeichnen (mit 1 < i < L) und L 
unabhangige Verifikationsgleichungen zum Verifizieren der L Signaturen verwendet werden, besteht der zu bearbeitende 
Rechenumfang fur die Signaturveriflkation in L Verifikationsdurchlaufen. 
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[Y Angesichts dessen ist ein Schema vorgeschlagen worden, welches die folgende eine Verifikationsgleichung verwen- 

det, indem der Wert der y-Komponcnte akkumuliert wird: 

g^Xa^.^X^Ldnodp) (7) 

wobei 
L 

y ,= Zy|Und ej = f(X, , nrij) 
1.1 

(siehe beispielsweise Ohta and Okamoto, "Multi-Signature Schemes Using Fiat-Shamir Scheme", Spring National Con- 
vention of the Institute of Electronics, Information and Communication Engineers of Jaoan (1989), A-277 (1989), und 
Harada and Tatebayashi, "An efficient method for computing a general monomial and its application", Technical Report 
of Institute of Electronics, Information and Communication Engineers of Japan ISEC91-40 (1991). 

Mit diesen Schemata kann jeder Unterzeichner die Signaturen anderer Unterzeichner falschen, was zu Sicherheitspro- 
blemen fuhrt. Dieses Problem wird beispielsweise in Shimbo and Kawamura, "Consideration on computing vector addi- 
tion chain and its application", Technical Report of the Institute of Electronics. Information and Communication Engi- 
neers of Japan ISEC91-59 (1991) erortert. 

In der obigen Literaturstelle sind die Signaturerzeugung, die Signaturverifikation und Angriffe darauf in der Situation 
beschrieben, in der mehrere Unterzeichner ein Dokument unterzeichnen. Selbst wenn jedoch jeder Unterzeichner ein an- 
deres Dokument unterzeichnet, ermoglicht die Verwendung der oben erwahnten Verifikationsgleichung die direkte An- 
wendung des Angriffs auf die mehreren Signaturen, was zu einem entsprechenden Sicherheitsproblem fuhrt. 

Eine erste Aufgabe der vorliegenden Erfindung besteht darin, ein Signaturverfahren und eine Vbrrichtung zu schaffen, 
die eine Block-Verifikation einer Dberlagerungssignatur, einer Mehrfachsignatur oder von Einzelsignaturen gestatten, 
welche von mehreren Unterzeichnem an demselben oder verschiedenen Dokumenten angebracht sind, sowie ein Spei- 
chermedium zu schafTen, auf dem das Signaturverfahren gespeichert ist. 

Eine zweite Aufgabe der vorliegenden Erfindung ist es, ein sicheres Uberlagerungssignaturverfahren und eine dafiir 
geeignete Vorrichtung zu schaffen, die eine Zunahme der Datenmengc fur Signaturkomponenten in dem Fall verhindern, 
wo mehrere Unterzeichner jeweils ein anderes Dokument unterzeichnen und es erwunscht ist, die Reihenfolge der Un- 
terzeichnung zu bestatigen, sowie ein Speichermedium zu schafTen, auf dem das Uberlagerungssignaturverfahren ge- 
speichert ist. 

Eine dritte Aufgabe der vorliegenden Erfindung ist es, ein sicheres Mehrfachsignaturverfahren und eine dazu geeig- 
nete Vorrichtung zu schaffen, die die Realisierung einer Mehrfachsignatur mittels lediglich eines Umlaufs einer Nach- 
richt zu mehreren Unterzeichnem gestatten und eine Zunahme der Datenmenge fur Signaturkomponenten verhindern, 
sowie ein Aufzeichnungsmedium zu schaffen, auf dem das Mehrfachsignaturverfahren gespeichert ist. 

Eine vierte Aufgabe der vorliegenden Erfindung ist es, ein sicheres Signaturverfahren und eine dazu geeignete Vor- 
richtung zu schafTen, die eine Block-Verifikation und damit effiziente Verifikation von Signaturen erlauben, wenn meh- 
rere Unterzeichner jeweils ein anderes Dokument unterzeichnen, sowie ein Aufzeichnungsmedium zu schaffen, auf dem 
das Signaturverfahren gespeichert ist. 

Ein Signaturverifikationsverfahren gemaB einem ersten Aspekt der vorliegenden Erfindung umfaBt die Schritte: 
Jeder Unterzeichner i: 

(a) erzeugt eine erste Zufallszahl Si als Geheiminformation, erzeugt dann Information I* = (s^, P) mit einer Funktion 
G2 unter Verwendung eines ofTentlichen Parameters P und der ersten Zufallszahl s\ und verofTentlicht die Informa- 
tion Ij, zwei Einweg-Funktionen und hj und Identifikationsinformation IDj, die von dem Unterzeichner i benutzt 45 
werden, als seine offentliche Information {ID;, I;, fi, hi); 

(b) erzeugt eine zweite Zufallszahl rj, erzeugt dann Xj = <P(r\, P) durch Einsetzen des Parameters p und der zweiten 
Zufallszahl r> in eine Funktion O und setzt die Information X[ enthaltende Information auf X\; 

(c) erzeugt 

50 

e i = f i (X' i , m'i) 
di = hi(X\, rn'O 

mit den Einweg-Funktionen und hj unter Verwendung von Dokumentinformation m'j, die ein zu unterzeichnendes 55 
Dokument m; enthalt, und der Information X\; und 

(d) erzeugt fur Information, die ei, d;, S{ und ri enthalt, eine Signatur 

Vi = Sgi(ei, dj, ^ r b yVi) 

60 

mit einer Signaturfunktion Sgi, die unter Verwendung des Parameters p erzeugt wird, und gibt, wenn Information, 
die die Information E>i enthalt, als Identifikationsinformation JD\ dargestellt wird, [JD\ f X'i, m'j, yj} einzeln oder 
uber die anderen Unterzeichner an einen Verifizierer als letzte Bestimmung aus, wobei im Fall des einzelnen Aus- 
sendens y'^i eine leere Menge ist und im Fall des Aussendens iiber die anderen Unterzeichner y\_i so eingestellt 
wird, da6 gilt y'j_i = yi-u u nd 65 
der Verifizierer: 

(e) errechnet aus der ofTentlichen Information (IDj, I,, fj, hj) Information Ij, die der Identifikationsinformation ED; 
entspricht, welche in ID'j in der empfangenen Information {ID'i, X',, m'i, yj) enthalten ist, und die Einwegfunktionen 
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(r fi und hi, und berechnet ei und d { unter Verwendung der Einweg-Funktionen f { und hj und der empfangenen Informa- 

lionen X', und m's; 

(f) berechnet die Information Xj, die in der Information X\ enthalten ist, und berechnet 
5 , Z , = V((X i *d i ),ft*e i )fi=l,...,L) 

fnit einer Funktion V, die Berechnungen (Xi*di) von di und X, sowie (Ji*c$ von ej und Ij enthalt, fur i = 1, . . ., L; und 

(g) berechnet W = T(yj*P) mit einer Funktion T, die einc Bercchnung (yi*p) von yj und (5 enthalt, verifiziert dann 
die Giiltigkeit der Signaturen durch Priifung, ob W = Z', und entscheidet, falls beide Werte gleich sind, daB die Si- 

10 gnaturen alle gultig sind. 

GemaB einem zweiten Aspekt der vorliegenden Erfindung wird der Wert der y-Komponente, bei der es sich um eine 
der Hauptsignaturkomponenten handelt, fur jeden SignaturerzcugungsprozcB akkumuliert, um eine Zunahme der Daten- 
menge der Gesamtsignaturkomponente zu unterdriicken, wodurch ein Uberlagerungssignaturschema aufgestellt wird, 

15 das bei dem Fiat-Shamir-Schema und dem Schnorr-Schema anwendbar ist. Obwohl es bekannt ist, daB die Expontenti- 
alkomponente bei der Verifikationsverarbeitung lediglich die e-Komponente ist, die als eine Expontentialkomponente 
von I verwendet wird, fuhrt die vorliegende Erfindung die d-Komponente als zweite Exponentialkomponente fur die Po- 
tenzicrung von X neu ein und erzcugt unter Beriicksichtigung der Reihenfolge der Unterzeichner die c- und die d-Kom- 
ponente, wodurch eine Zunahme der Anzahl von Kommunikationen verhindert wird und gleichzeitig Sicherheit geboten 

20 wird. 

GemaB einem dritten Aspekt der vorliegenden Erfindung wird der Wert der y-Komponente, bei der es sich um eine der 
Hauptsignaturkomponenten handelt, fur jeden SignaturerzeugungsprozeB akkumuliert, um eine Zunahme der Daten- 
menge der Gesamtsignaturkomponente zu unterdriicken, wodurch ein Mehrfachsignaturschema erstellt wird, das auf das 
Fiat-Shamir-Schema und das Schnorr-Schema anwendbar ist. Wahrend es bekannt ist, daB die Exponentialkomponente 
25 in der Verifikationsverarbeitung lediglich die e-Komponente ist, die als Exponentialkomponente von I verwendet wird, 
fuhrt die vorliegende Erfindung neu die d-Komponente als eine zweite Exponentialkomponente fur die Potenzierung von 
X ein, wodurch eine Zunahme der Anzahl von Kommunikationen verhindert wird, wahrend gleichzeitig Sicherheit ge- 
boten wird. 

GemaB einem viertcn Aspekt der vorliegenden Erfindung wird, wahrend es bekannt ist, daB die Exponentialkompo- 
30 nente in der Verifikationsverarbeitung lediglich die e-Komponente ist, die als eine Exponentialkomponente von I ver- 
wendet wird, die d-Komponente neu als zweite Exponentialkomponente fur die Potenzierung von X eingefiihrt, wodurch 
ein Signaturschema erstellt wird, welches eine Block-Signaturverifikation ermoglicht, die auf das Fiat-Shamir-Schema 
und das Schnorr-Schema anwendbar ist. Gleichzeitig wird Sicherheit geboten, selbst wenn der Wert der y-Komponente, 
bei der es sich um eine der Hauptsignaturkomponenten handelt zum Zeitpunkt der Signaturverifikation akkumuliert wird 
35 und lediglich eine Verifikationsgleichung verwendet wird. 

Ausfuhrungsbeispiele der Erfindung werden nachfolgend anhand der Zeichnungen naher erlautert. Es zeigen: 

Fig. 1 A ein Blockdiagramm, das den Aufbau eines Systems darstellt, bei dem das Uberlagerungs- oder das Mehrfach- 
signaturschema und die Block-Signaturverifikation dafur gemaB der vorliegenden Erfindung anwendbar sind, 

Fig. IB ein Blockdiagramm, das den Aufbau eines Systems darstellt, bei dem das Einzelsignaturschema und die 
40 Block-Signaturverifikation dafur gemaB der vorliegenden Erfindung anwendbar sind, 

Fig. 2 ein Blockdiagramm, das den funktionalen, mit einer Verarbeitung zur anfanglichen Informationseinstellung in 
Zusammenhang stehenden Aufbau einer Zentralvorrichtung 100 in Fig. 1 A oder IB darstellt, 

Fig. 3 ein Blockdiagramm, das den funktionalen, mit einem ProzeB fur die Systemeinschreibung in Zusammenhang 
stehenden Aufbau einer Unterzeichnervorrichtung in Fig. 1 A zeigt, 
45 Fig. 4 ein Diagramm, das eine Interaktionsfolge von Information mit uberlagerten Signaturen zeigt, 

Fig. 5 ein Blockdiagramm, das den funktionalen, mit einer Verarbeitung zur Signaturerzeugung in Zusammenhang 
stehenden Aufbau einer Unterzeichnervorrichtung in Fig. 1 A zeigt, 

Fig. 6 ein Blockdiagramm, das den funktionalen, mit der Verarbeitung zur Signaturverifikation in Zusammenhang ste- 
henden Aufbau der Verifizierervorrichtung 800 in Fig. 1A zeigt, 
50 Fig. 7 ein Diagramm zeigt, das eine Interaktionsfolge von Information mit Mehrfachsignaturen zeigt, 

Fig. 8 ein Blockdiagramm, das den funktionalen, mit der Verarbeitung zur Signaturerzeugung in dem Mehrfachsigna- 
turschema in Zusammenhang stehenden Aufbau der Unterzeichnervorrichtung in Fig. 1 A zeigt, 

Fig. 9 ein Blockdiagramm, das den funktionalen, mit der Verarbeitung zur Signaturverifikation in dem Mehrfachsigna- 
turschema in Zusammenhang stehenden Aufbau der Verifizierervorrichtung 800 in Fig. 1 A zeigt, 
55 Fig. 10 ein Blockdiagramm, das den funktionalen, mit der Verarbeitung ihrer Systemeinschreibung in dem Einzelsi- 
gnaturschema in Zusammenhang stehenden Aufbau einer Unterzeichnervorrichtung in Fig. IB zeigt 

Fig. 1 1 ein Diagramm, das eine Interaktionsfolge von Information in dem Einzelsignaturschema zeigt, 

Fig. 12 ein Blockdiagramm, das den funktionalen, mit der Verarbeitung zur Signaturerzeugung in Zusammenhang ste- 
henden Aufbau einer Unterzeichnervorrichtung in Fig. IB zeigt, 
60 Fig. 13 ein Blockdiagramm, das den funktionalen, mit der Verarbeitung zur Signaturverifikation in Zusammenhang 
stehenden Aufbau der Verifizierervorrichtung 800 in Fig. IB zeigt, 

Fig. 14 ein Blockdiagramm, das den funktionalen Aufbau der Zentralvorrichtung 100 in Fig. 1 A zeigt der mit der Ver- 
arbeitung zur anfanglichen Informationseinstellung im Fall eines auf einer elliptischen Kurve beruhenden Verschliissel- 
ungssystems in Zusammenhang stent, 
65 Fig. 15 ein Blockdiagramm, das den funktionalen Block einer Unterzeichnervorrichtung in dem System von Fig. I A 
zeigt der mil der Verarbeitung ihrer Systemeinschreibung unter Verwendung des auf einer elliptischen Kurve beruhenden 
Verschlusselungssystems verbunden ist, 

Fig. 16 ein Blockdiagramm, das den funktionalen Block einer Unterzeichnervorrichtung in dem System von Fig. 1A 
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zeigt, der mit der Verarbeitung zur Signaturerzeugung in dem Uberlagerungssignaturschema unter Verwendung des auf 1 
einer elliptischen Kurve beruhenden Verschlusselungssystems verbunden ist, 

Fig. 17 ein Blockdiagramm, das den funktionalen Block der Verifizierervorrichtung 800 in dem System von Fig. 1 A 
zeigt, der mit der Verarbeitung zur Signaturverifikation in dem Uberlagerungssignaturschema unter \ferwendung des auf 
einer elliptischen Kurve beruhenden Verschlusselungssystems verbunden ist, 5 

Fig. 18 ein Blockdiagramm, das den Aufbau einer Unterzeichnervorrichtung in einem System von Fig. 1A fur das 
Mehrfachsignaturschema unter Verwendung einer elliptischen Kurve darstellt, 

Fig. 19 ein Blockdiagramm, das den Aufbau der Verifizierervorrichtung 800 in dem System von Fig. 1A fiir das Mehr- 
fachsignaturschema unter Verwendung der elliptischen Kurve zeigt, 

Fig. 20 ein Blockdiagramm, das den Aufbau einer Unterzeichnervorrichtung in einem System gemaB Fig. IB fur das 10 
Einzelsignaturschema unter Verwendung der elliptischen Kurve zeigt, 

Fig. 21 ein Blockdiagramm, das den Aufbau der Verifizierervorrichtung 800 in dem System von Fig. IB fur das Ein- 
zelsignaturschema unter Verwendung der elliptischen Kurve zeigt, 

Fig. 22 eine Tabelle, die die grundlegenden Berechnungsgleichungen bei der vorliegenden Erfindung im Vergleich mit 
jenen in dem RSA-Schema und dem Schnorr-Schema zur Bewertung der vorliegenden Erfindung zeigt, und 15 

Fig. 23 eine Tabelle, die den erforderlichen Rechenaufwand bei der vorliegenden Erfindung im Vergleich mit jenen 
beim RSA-Schema und beim Schnorr-Schema zeigt. 

Das Block-Signatursystem gemaB der vorliegenden Erfindung umfaBt eine Zentralvorrichtung 100 (nachfolgend auch 
einfach als Zentrale bezeichnet), L Unterzeichnervorrichtungen (nachfolgend auch einfach als Unterzeichner bezeichnet) 
30 1? 30 2 , . . 30l, wobei L eine ganze Zahl gleich oder groBer als 2 ist, und eine Verifizierervorrichtung 800 (nachfolgend 20 
auch einfach als Verifizierer bezeichnet). Die Unterzeichnervorrichtungen und die Verifizierervorrichtung sind jeweils 
iiber einen Kanal 400 garantierter Sicherheit mit der Zentralvorrichtung 100 verbunden. Die Unterzeichnervorrichtungen 
30 lt 302, . . 30 L sind in einer Kette iiber Kanale 500 nicht garantierter Sicherheit verbunden. Die L-te Unterzeichnerv- 
orrichtung 30l ist mit der Verifizierervorrichtung 800 iiber einen Kanal 700 nicht garantierter Sicherheit verbunden. In 
diesem System bringt der Unterzeichner 30 seine Signatur an einem Dokument mi unter Verwendung einer Signatur- 25 
funktion Sgi an, sendet dann das unterzeichnete Dokument als yi = Sgi(m0 an den nachsten Unterzeichner 30 2 , der sei- 
nerseits unter Verwendung einer Signaturfunktion Sg 2 seine Signatur an einem Dokument m 2 und der empfangenen Si- 
gnaturin formation y x anbringt und sie als Signaturin formation y 2 = Sg 2 (m t , y t ) an den Unterzeichner 3O3 sendet. Diese 
Verarbeitung wiederholl sich fiir jeden nachfolgenden Unterzeichner. Der letzte Unterzeichner 30 L bringt seine Signatur 
an einem Dokument m L und der von ihm empfangenen Signaturinformation y^i unter Verwendung einer Signaturfunk- 30 
tion SgL an und sendet sie als Signaturinformation Vl = Sgi/niL, yi-i) an die Verifizierervorrichtung 800. Eine solche Si- 
gnaturverarbeitung wird als Uberlagerungssignaturschema bezeichnet. 

Wenn bei diesem Beispiel lediglich das Dokument mi des ersten Unterzeichners existiert, die Dokumente m2, . . ., m L 
der nachfolgenden Unterzeichner also nicht existieren, unterzeichnen die L Unterzeichner dasselbe Dokument mi nach- 
einander. Dies wird als Mehrfachsignaturschema bezeichnet. In jedem Fall verifiziert der Verifizierer 800 gemaB der vor- 35 
liegenden Erfindung die empfangene Signaturinformation Vl en-bloc, d. h. alle auf einmal. Wenn aile Signaturen giiltig 
sind, endet ihre Verifikation in einer Verarbeitungsrunde bzw. einem Verarbeitungsdurchlauf. Wenn jedoch irgend eine 
der Signaturen ungultig ist, wird eine Verarbeitung zur Ermittlung des nicht autorisierten Unterzeichners durchgefuhrt. 
Wenn beispielsweise die Anzahl involvierter Unterzeichner 2 M ist, werden diese in eine erste und eine zweite Halb- 
gruppe je bestehend aus 2 M ~ l Unterzeichnern unterteilt, und die Signaturen von 2 M ~ l Unterzeichnem einer Gruppe wer- 40 
den auf einmal, d. h. als Block verifiziert. Wenn eine ungultige Signatur gefunden wird, werden 2 M ~~ 2 Signaturen der er- 
sten oder der zweiten Halbgruppe auf einmal verifiziert. Wenn keine ungultige Signatur gefunden wird, werden die Si- 
gnaturen der verbleibenden 2^"* oder 2 M " 2 Unterzeichner der ersten oder der zweiten Halbgruppe auf einmal verifiziert, 
wonach der gleiche Vorgang wiederholt wird. Auf diese Weise kann die unautorisierte Signatur in M+l Durchlaufen ei- 
ner Verifikalions verarbeitung ennittelt werden. 45 

Bei einem anderen System zur Ausfiihrung der vorliegenden Erfindung ist gemaB Darstellung in Fig. IB eine Zentral- 
vorrichtung 100 mit L Unterzeichnervorrichtungen 30i, 30 2 , . . ., 30l und einer Verifizierervorrichtung 800 iiber Kanale 
400 garantierter Sicherheit verbunden, wie dies auch bei Fig. 1A der Fall ist. Die Unterzeichnervorrichtungen 30i, 30 2 , 
. . ., 30 L sind hier jedoch je direkt mit der Verifizierervorrichtung 800 iiber einen jeweiligen Kanal 500 nicht garantierter 
Sicherheit verbunden. Bei diesem System bringt jeder Unterzeichner seine Signatur unter Verwendung einer Signatur- 50 
funktion an einem jeweiligen Dokument an (der i-te Unterzeichner an dem Dokument m unter \ferwendung einer Signa- 
turfunktion Sgi) und sendet das unterzeichnete Dokument (im Fall des i-ten Unterzeichners als yi = Sgi (mj) an den Ve- 
rifizierer 800, der die empfangene Information (yj = Sgi (mO fiir i = 1, . . ., L) en-bloc verifiziert. 

Nachfolgend werden der i-te, der (i-l)-te, der (i+l)-te, etc. Unterzeichner entsprechend der Unterzeichnervorrichtung 
30-,, 30i_i, 30i+i, etc. zur Vereinfachung als Unterzeichner i, Unterzeichner (i-1), Unterzeichner (i + 1) etc. bezeichnet. 55 
Dabei gilt im Rahmen dieser Beschreibung 1 < i < L, soweit nichts anderes ausgefuhrt ist. 

Die Prinzipien der Verfahren zur Durchfiihrung einer Block- Signaturverifikation von Signaturen mehrerer Unterzeich- 
ner bei den obigen beiden Systemen gemaB der vorliegenden Erfindung werden nachfolgend beschrieben. 

Schritt SI: Die Zentrale 100 veroffentlicht (sendet an alle Unterzeichner und an den Verifizierer) offentliche Parame- 
terin formation enthaltend einen Parameter q fiir jeden Unterzeichner zur Erzeugung der Signaturfunktion Sgi und einen 60 
Parameter p = Gi(q), der unter Verwendung des Parameters q mit einer Funktion Gi crzeugt wird. 

Schritt S2: Jeder Unterzeichner i erzeugt eine erste Zufallszahl Si als Geheiminformation und behalt sie in einem Spei- 
cher. Weiterhin erzeugt der Unterzeichner i Information li = G 2 (si, p) mit einer Funktion G 2 unter Verwendung des 6f- 
fendichen Parameters P und der ersten Zufallszahl ^ und tragt die Information Ii, zwei Einweg-Funktionen £ und hi zur 
Verwendung durch den Unterzeichner i sowie seine Idenlifikationsinformation IDi als offentliche Unterzeichnerinforma- 65 
tion {IDi, Ii, fi, hi} bei der Zentrale 100 ein. 

Schritt S3: Der Unterzeichner i erzeugt eine zweite Zufallszahl n. und setzt den Parameter p und die zweite Zufallszahl 
T[ in eine Funktion O ein, wodurch Information Xi = 0(r i? p) erzeugt wird. Information enthaltend die Information Xj 
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* wird als X\ eingestellt. 

Schritt S4: Der Unterzeichner i verwendet Dokumentin formation m'i, die ein zu unterzeichnendes Dokument n\\ ent- 
halt, und die Information X'j zur Erzeugung mittels der beiden Einweg-Funktionen fj und h; von 



5 q = «X , bm , |) (8) 
d i = h i (X' i ,rn' i ) (9) 

Schritt S5: Der Unterzeichner i erzeugt die folgende Signatur von Information enthaltend % di, s;, q und y^ mit der Si- 
10 gnaturfunktion Sgj 

yi = Sgi(ei,di,Si,ri, yVi), (10) 

setzt dann die Identifikationsinformation JD[ enthaltende Information als Identifikationsinformation ID'i und sendet In- 
15 formation {ID'i, X'i, m'i, y^ einzeln oder uber die anderen Unterzeichner an den Verifizierer 800 als die letzte Bestim- 
mung. Wenn einzeln an den Verifizierer gesendet wird, ist y'^ eine leereMenge, wahrend wenn uber die anderen Unter- 
zeichner gesendet wird, y'^ so eingestellt wird, daB y\_\ = yi_i. 

Schritt S6: Der Verifizierer 800 errechnet aus der offentlichen Information {IDi, Ij, hi} die Information Ij entspre- 
chend der Identifikationsinformation IDi, die in ID'i in der empfangenen {ID'i, X'i, m'i, y\] enthalten ist, sowie die beiden 
20 Einweg-Funktionen fi und hi, und berechnet ei und dj unter Verwendung der Einweg-Funktionen f; und hi und der emp- 
fangenen Informationen X\ und m'i gemaB Gleichungen (8) und (9). Weiterhin extrahiert der Verifizierer 800 X\ aus der 
empfangenen Information X\ und fuhrt dann eine Berechnung di*Xi zwischen dj und X* sowie eine Berechnung e^Ii zwi- 
schen q und Ij aus und berechnet den folgenden Wert anhand der Ergebnisse der obigen Berechnungen unter Verwen- 
dung einer Funktion V: 

25 

Z , = V((X i 'M i X(Ii*cOK=l,...,L) (11). 



Die mit dem Symbol * bezeichnete Rechenvorschrift kann eine Potcnzierung, Multiplikation oder ahnliches sein. 

Schritt S7: Der Verifizierer 800 setzt weiterhin das Rechenergebnis Yi*p zwischen yi und fJ in eine Funktion T zur Er- 
30 rechnung von W = T (yi*P) ein und fuhrt eine Signaturverifikation durch, indem gepriift wird, ob W = Z'. Wenn dies der 
Fall ist, entscheidet der Verifizierer, daB alle Signaturen gtiltig sind. 

Im Fall der Durchfuhrung einer Block-Signaturverifikation mittels des oben beschriebenen Verfahrens bei dem Uber- 
lagerungs- oder dem Mehrfachsignatursystem von Fig. 1A wird die Information y Vi = yi-i gesetzt und X'i, m'i und ID'i 
wic folgt eingestellt: 

35 

X'^QCUXO (12) 



m'i=:(mVi,mi) (13) 
40 ID'i = OD'i, n>i-i) (14). 

Der Unterzeichner i empfangt Information {ID^i, X'^, m^, y^} von dem vorhergehenden Unterzeichner (i~l), 
fiihrt dann die Schritte S3 bis S 5 aus und sendet Information (ID'i, X'i, m'i, y0 an den nachsten Unterzeichner (i + 1). Der 
letzte Unterzeichner fuhrt die Schritte S3 bis S5 aus und sendet Information {E>' L , X* L , m' L , y L ] an den Verifizierer 800. 

45 Wenn man bei dem Voranstehenden m'i = mi = m und ni2 = 1113 = . . . = ihl = "Ieere Menge" einstellt, d. h. m'2 = m'3 = 
. . . = m' L = m einstellt, erhalt man die oben genannte Mehrfachsignatur. 

Im Fall der Block- Verifikation von Signaturen bei dem Einzelsignatursystem von Fig. IB dadurch, daB man den Pro- 
zeduren der oben erwahnten Schritte SI bis S7 folgt, werden y\_\ =leere Menge, X\ = Xi, m'i = und ID'i = H^i einge- 
stellt, und der Unterzeichner i sendet die Information {IDi, Xi, mi, yi}, die mittels der Schritte S3, S4 und S5 erzeugt wird, 

50 direkt an den Verifizierer 800. 

Wie oben in Verbindung mit Schritt S4 beschrieben, erzeugt gemaB der vorliegenden Erfindung jeder Unterzeichner 
zwei Informationen oder Komponenten e» und di unter Verwendung der beiden Einweg-Funktionen fj und h[ und erzeugt 
die Information yj, die diese Komponenten enthalt, wahrend die Signaturverifikation unter Berucksichtigung dieser bei- 
den Informationen e* und d* durchgefiihrt wird. Somit kann die Verifikation auf der Basis einer Informationsumlaufrunde 

55 nach Unterzeichnung durch die Unterzeichner 1 bis L durchgefuhrt werden. Weiterhin ist die Sicherheit garantiert. Im 
Gegensatz dazu, fiihrt, da das oben beschriebene Signaturverifikationsverfahren von Schnorr die Signatur y unter Ver- 
wendung der mittels einer Einweg-Funktion f errechneten e-Komponente und der Zufallszahlen r und s gemaB den Glei- 
chungen (3) und (4) ableitet, die direkte Anwendung dieses Verfahrens auf das Uberlagerungssignaturschema zu einer 
VergroBerung der Informationsmenge {K>i, Xi, yi}, die von jedem Unterzeichner an den nachsten gesandt wird, wodurch 

60 unvenneidlich der von dem Verifizierer zur Signaturverifikation zu bewaltigende Rechenaufwand erhbht wind. 

Als nachstes folgt eine Beschrcibung eincs konkreten Verfahrens zur Ausfuhrung des oben beschriebenen grundsatz- 
lichen Block-Signaturverifikationsschemas bei den Systemen der Fig. 1 A und IB, sowie von Beispielen der einzelnen 
Unterzeichnungsvorrichtungen und der Verifizierervorrichtung zur Verwendung in dem Schema. 

65 Ausfiihrungsbeispiel 1 

Dieses Ausfiihrungsbeispiel betrifft die Anwendung der Uberlagerungssignatur und der Block-Signaturverifikation 
entsprechend den Prinzipien der vorliegenden Erfindung auf die Schnorr-Schemata in dem System von Fig. 1 A. Die Idee 
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* der Verwendung einer zweiten Exponentialkomponente, die hier erwahnt wird, ist auch in weitem Umfang anwendbar 

auf die Fiat-Shamir-Schemata und auf digitalc Signaturschemata, die interaktive Priifungen einschlieBlich der Fiat-Sha- 
mir-Schemata verwenden. Beispiele der interaktiven Priifungen einschlieBlich Fiat-Shamir-Schemata oder von ahnli- 
chen sind in der oben erwahnten Literaturstelle M. Tompa und H. Woil beschrieben. 

Zum Zeitpunkt seiner Einschreibung im System erzeugt jede Unterzeichner i Geheiminformation Sj und offentliche In- 5 
formation und tragt offentliche Information (ID, I) in einem offentlichen Informationsverwaltungsverzeichnis der Zen- 
trale 100 ein. Die Zentrale 100 sendet die offentliche Infonnation nach Bedarf an die Unterzeichner (Unterzeichnervor- 
richtungen 30t, . . ., 30O und den Verifizierer 800. 

Als erstes soil die anfangliche Informationseinstellverarbeitung durch die Zentrale 100 zum Zeitpunkt des System- 
starts beschrieben werden (siehe Fig, 2). Diese Verarbeitung ist dazu vorgesehen, einen einzigartigen oder eindeutigen 10 
Wert {p, q, g} des Systems zu veroffentlichen. 

(1-A) Anfangliche Informationscinstellverarbeitung (durch die Zentrale beim Systemstart) 

Schritt SI: Die Zentrale 100 erzeugt mittels eines Primzahlgenerators 110 eine Primzahl p und mittels eines Dividie- 15 
rers 120 eine Primzahl q, die ein MaB von p-1 ist. 

Schritt S2: Die Zentrale 100 erzeugt ein Grundelement a von (Z/pZ)* mittels eines Grundelementgenerators 130 und 
eine Ganzzahl g eines Grads oder einer Ordnung q unter Verwendung eines Modulo-Exponentiators 140 gemaB der fol- 
genden Gleichung: 

20 

g = a (fM)/q mod p (15) 

Die rechte Seite der Gleichung (15) stellt die zuvor erwahnte Funktion Gi dar, wahrend g auf der linken Seite p ent- 
spricht. 

Schritt S3: Die offentliche Information {p, q, g} wird an die Unterzeichnervorrichtungen 30^ . . 30 L und an die Ve- 25 
rifizierervorrichtung 800 uber die sicheren Kanale 400 gesandt. 

(1-B) Verarbeitung beim Unterzeichner i fur dessen Einschreibung im System 

Als nachstes erfolgt eine Beschreibung der Verarbeitung, die der Unterzeichner i durchfuhrt, wenn er sich im System 30 
einschreibt (siehe Fig. 3, die die Unterzeichnervorrichtung 30i entsprechend dem Unterzeichner i zeigt). Im Speicher 33 
jeder Unterzeichnervorrichtung 30j ist die von der Zentrale 100 empfangene offentliche Information {p, q, g} gespei- 
chert. 

Schritt S4: Der Unterzeichner i erzeugt die Zufallszahl S[ mittels eines Zufallsgcnerators 31 und gibt sie in einen Mo- 
dulo-Exponentiator 32 zusammen mit den offentlichen Informationen g und p ein. Daraufhin wird die offentliche Infor- 35 
mation Ii gemaB nachstehender Gleichung (16) berechnet: 

Ii = g S imodp (16). 

Die rechte Seite von Gleichung (16) stellt die oben erwahnte Funktion G2dar. 40 

Schritt S5: Der Unterzeichner i sendet die Identifikationsinformation IDj, die offentliche Information 1} und die Ein- 
weg-Funktionen fj und hi uber den sichere Kanal 400 an die Zentrale 100, um sie als offentliche Information {IDi, Ij, f lt 
hi} registrieren zu lassen. Der Unterzeichner i halt die Zufallszahl Si als geheime Information in dem Speicher 33. 

Die anderen Unterzeichner (1 bis (i-1) und (i+1) bis L) fuhren dieselbe Verarbeitung aus, wenn sie Teilnehmer des Sy- 
stems werden. Die Zentrale 100 liefert die offentliche Infonnation { ID-,, Ij, fi, h\] auf irgendeine Weise, beispielsweise in 45 
der Form eines offendichen Verzeichnisses oder einer offentlichen Datei, an den Verifizierer 800. 

Bei der folgenden Beschreibung wird die unterzeichnete Version des Dokuments m'i, die von dem Unterzeichner i ge- 
liefert wird, durch {ED\, Xj, m\, y[) identifiziert. Es erfolgt nun eine Beschreibung des Falls, wo der Unterzeichner (i-1) 
die zu unterzeichnende Nachricht sendet und der Unterzeichner i seine Signatur an der Nachricht anbringt und die unter- 
zeichnete Nachricht an den nachsten Unterzeichner (i+1) sendet. Wenn L Unterzeichner eine Uberlagcrungssignatur er- 50 
zeugen, braucht lediglich i schrittweise um eins von 1 auf L erhoht zu werden und die folgende Prozedur wiederholt zu 
werden. In diesem Fall wird der Unterzeichner (L + 1) als der Verifizierer betrachtet, ID' 0 = leere Menge, X' 0 = leere 
Menge und yo = 0. 

(1-C) Verarbeitung beim Unterzeichner i zur Signaturerzeugung 55 

Fig. 4 zeigt eine Interaktionsfolge einer Nachricht und Fig. 5 den funktionalen Aufbau der Unterzeichnervorrichtung 
30i. Wenn der Unterzeichner i eine Nachricht {ID'i_i, XVi, mVi, y lA ) von dem Unterzeichner (i-1) erhalt, fuhrt er die 
nachstehend beschriebene Signaturerzeugungsverarbeitung aus. 

Schritt S6: Der Unterzeichner i erzeugt die Zufallszahl n mittels eines Zufallsgenerators 310 und gibt sie zusammen 60 
mit den offentlichen Informationen {p, g}, die im Speicher 33 gespeichert sind, in einen Modulo-Exponentiator320 ein, 
der die Funktion <!> berechnet, und in welchem Xj gemaB Gleichung (17) berechnet wird: 

X i = 0(r i ,g)=g r imodp (17). 

65 

Schritt S7: Der Unterzeichner i verwendet einen fi-Funktionsrcchncr 330 und einen hi-Funktionsrechner 340 zur Er- 
rechnung zweier Informationen ej bzw. dj gemaB 
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e i = f i (X' i ,m'i) (18) 
d^h^m'i) (19). 

5 In diesem Fall gilt X\ = (X'n, Xj) oder m'i = (m'^, mO, wobei nij das vom dem Unterzeichner i zu unterzeichnende 
Dokument ist. 

Schritt S8: Der Unterzeichner i gibt diese Tnfonnationen e,, di und die Zufallszahl r, in einen Modulo-Exponentiator 
350 und dann in einen Modulo- Addierer 360 zusammen mit der offentlichen Information q und der gcheimen Informa- 
tion Sj ein, wodurch gemaB Gleichung (20) die Signatur erzeugt wird: 

10 

Yi = (Yi-i + oVi + eiSi) mod q (20) 
Die rechte Seite der Gleichung (20) stellt die Signaturfunktion Sgi in Gleichung (10) dar. 

Schritt S9: Der Unterzeichner i setzt ID'i = (ID^, IDO und sendet Information {ID'i, X'i, m'i, y^) an den nachsten Un- 
15 terzeichner (i+1). 

(1-D) Verarbeitung beim Verifizierer zur Signaturverifikation 

Fig. 6 zeigt den funktionalen Aufbau der Verifizierervorrichtung 800. Wenn der Verifizierer die Nachricht {ID'l, X'l, 
20 m' L , y L } von dem Unterzeichner L (i = L) empfangt, verifiziert er die Gultigkeit der einzelnen Signaturen mittels der 
nachfolgend beschriebenen Verarbeitung. 

Schritt S 10: Die Einweg-Funktionen f\ und hi, die in der offentlichen Information {K>i, I\, hj enthalten sind, welche 
von der Zentrale 100 geliefert wird, werden in Einweg-Funktionsrechnern 810 bzw. 820 eingestellt. Die ersten i Kompo- 
nenten der Information X' L werden zur Bildung von X'i verwendet, und die ersten i Komponenten der Information m' L 
25 werden zur Bildung von m\ verwendet. Die Informationen X'i und mV die auf diese Weise erhalten werden, werden in 
dem f r Funktionsrechner 810 und dem h r Funktionsrechner 820 eingestellt, mit denen die Komponenten ei bzw. di durch 
die nachstehenden Gleichungen errechnet werden: 

ei = fi (XV m'i) = fi (X b X 2 , . . ., Xi, [mi, m 2 , . . raj) (21) 

30 

di = hi (X\, m'i) = hi (X h X 2 , . . Xi, {mi, m 2 ,. . ., mi)) (22). 

Schritt S12: Die Information Ij wird aus der offentlichen Information {EDj, Ti, fi, hi} abgeleitet, die von der Zentrale 
100 geliefert wird, und auBcrdem wird die Information Xi aus der Information X'l abgeleitet. Diese Informationen Ii und 
35 Xi werden zusammen mit den Komponenten ei und di sowie der offendichen Information p in einen Multikomponenten- 
Modulo-Exponentiator 830 eingegeben, in welchem gemaB nachstehender Gleichung Z errechnet wird: 

Z' = X l d l Ii e 1 ...X L d L lL e Lmodp (23). 

40 Die rechte Seite der Gleichung (23) entspricht der Funktion V((Xj*dj), (Ii*ei)X auf die zuvor in Verbindung mit den 
Prinzipien der vorliegenden Erfindung verwiesen wurde. 

Schritt S 12: Die Information y L und die offentlichen Informationen p und g, die in dem Speicher88 gespeichert sind, 
werden in einen Modulo-Exponentiator 840 eingegeben, um mittels der nachstehenden Gleichung (24) W zu errechnen: 

45 W = g* L Lmodp (24). 

Schritt S 13: Z* und W werden in einen Komparator 850 eingegeben, wo sie miteinander verg lichen werden um sicher- 
zustellen, daB 

so W = Z' (25). 

Wenn sie einander gleich sind, wird da von ausgegangen, daB die Dokumente (m^ . . ., mj ordnungsgemaB jeweils 
durch die L autorisierten Unterzeichner unterzeichnet wurden. 

55 ( 1 -E) Verbesserter Quadrier-und-Multiplizier-Algorithmus fur Mehrfachkomponenten 

Nachstehend erfolgt eine Beschreibung eines verbesserten Quadrier-und-MulUplizier-Algorithmus fur die Berech- 
nung von Gleichung (23) durch den Multikomponenten-Modulo-Exponentiator 830, wie etwa eine Mulukomponenten- 
Modulo-Potenzierung wie sie durch x^ mod N ausgedriickt ist. 
60 Schritt 1: z = 1 

Schritt 2: Die folgende Verarbeitung wird fur den Index i = 0, 1, . . laM ausgefuhrt (wobei lal die Anzahl von Bits von a 
reprasentiert). 

Schritt 2-1: z = z 2 mod N (26) 

65 

Schritt 2-2: 

wenn (a*, bj = ( 1 , 0), z = zx mod N (27) 
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wenn (as, bi) = (0, 1 ), z = zy mod N (28) 
wenn fa, bi) = (1, 1), z = z (xy) mod N (29) 

5 

wobei ai der Wert, 0 oder 1, eines i-ten Bits ist und dasselbe fur b[ gilt. 
Schritl 3: z wird ausgegeben. 

Durch Verwendung des obigen Algorithmic mit x = Xi, a = dj, y = Ij , b = Ci und N = p, ist es moglich Z{Li mod p zu er- 
halten (wobei Z x = X^In mod p). 
Beriicksichtigt man den Weg zur Erzeugung von y L , gilt to 

g y L ^ g y L-i (g r L) d L (g\A ^ g y ^tX L d L I L e L ^ . . . ^ XxWx . . . X L d J L c L (mod p) (30) 

Wenn somit die Dokumente {m t , . . m L } den obigen Test durch den Komparator 850 bestehen, akzeptiert der Veri- 
fizierer 800 die Dokumente als von den L autorisierten oder gultigen Unterzeichnern ordnungsgemaB unterzeichnet. is 

Ein Verfahren zum Implementieren des Multikomponenten-Quadrier-und-Multiplizier-Algorithmus mit hoherer Effi- 
zienz ist beispielsweise beschrieben in D. E. Knuth, "The Art of Computer Programming, Vbl. 2, Seminumerical Algo- 
rithms", Addison-Wesley Publishing, (1981), P. 456, Exercises 27 und 35. 

GemaB dem in der voranstehenden Literaturstelle vorgeschlagenen Verfahren wird, wenn s als Speichereinheit zur 
Speicherung von Ergebnissen einer Vorberechnung in eine Tabelle eingestellt wird (s = 2 bei dem oben beschrieben Mul- 20 
tikomponenten-Quadrier-und-Multiphzier-Algorithmus), die Anzahl von Multiplikationen (einschlieBlich Modulo-p- 
Rechnungen) wie folgt: 

(2 8 -s-l) [(2L+l)/s] + [(2L+l)/s]lql-l + lql-1 

25 

dabei ist unter [b/a] die kleinste ganze Zahl zu verstehen, die groBer als b/a ist. 

Es ist auch moglich, das System so auszugestalten, daB jeder Unterzeichner i vor Erzeugung seiner Signatur pruft, ob 
die von ihm cmpfangene Nachricht {ID'^ X'^ m'n, yi_ t } von den vorhergehcndcn Unterzeichnem 1 bis (i-1) ord- 
nungsgemaB unterzeichnet wurde. Wenn dies der Fall ist, fugt er seine Signatur der verifizierten Nachricht bei. In diesem 
Fall liefert die Zentrale 100 die offentliche Information (H>i, Ij, fy hj) fur i = 1, . . ., (i-1) vorab an den Unterzeichner i, 30 
und die Verifikation kann in gleicher Weise wie in den Schritten S10 bis S13 bei dem Verifizierer 800 durchgefuhrt wer- 
den. In diesem Fall wird L in den Schritten S10 bis SI 3 durch (i-1) ersetzt. 

Die Unterzeichnervorrichtungen und die Verifizierervorrichtungen flihren die oben beschriebene Verarbeitung ge- 
wohnlich mit Hilfe von Computern aus. 

Wie zuvor erwahnt, ist die vorliegende Erfindung anwendbar nicht nur auf die Schnorr-Schemata, sondern auch auf 35 
die Fiat-Shamir-Schemata und auf digitale Signatur-Schemata, die interaktive Priifungen einschlieBlich der Fiat-Shamir- 
Schemata verwenden. DemgemaB kann das Verfahren der vorliegenden Erfindung allgemein wie folgt zusammengefafit 
werden: 

Die Systemparameter, die veroffentlicht werden, sind p zur Angabe der Anzahl von Elementen der Gruppe, ein Element 
g der Gruppe, mit dem eine Gruppenberechnung beginnt, und eine positive ganze Zahl q derart, daB wenn das Element g 40 
q-mal berechnet wird, die Rechnung zu dem Element g zuruckkehrt. 

Der Unterzeichner i erzeugt die Zufallszahl Sj mittels des Zufallsgenerators im Moment seiner Einschreibung in das 
System und gibt die Zufallszahl si und die offentlichen Informauonen g und p in einen Gruppenrechner ein, in welchem 
das Element g spmal gerechnet wird, urn die offentliche Information Ij zu berechnen; und 

veroffentlicht die offentliche Information Ij und die Einweg-Funktionen fj und hi zusammen mit der Idcntifikationsinfor- 45 
mation IDj, behalt jedoch die Zufallszahl ^ als geheime Information. 

Bei der Signaturerzeugungsverarbeitung nach Empfang der unterzetchneten Nachricht (D'n, X'i_i, mVi» yi-i } vom 
Unterzeichner (i-1) auf der Basis der Nachricht m^, macht der Unterzeichner i folgendes: 

er erzeugt die Zufallszahl r x unter Verwendung des Zufallsgenerators, gibt sie dann zusammen mit den offentlichen In- 
formationen p und g in den Gruppenrechner ein, uin das Element g rpmal zum Erhalt der Infonnation X 4 zu rechnen, und 50 
setzt X\ = (X'i_i, Xi) und m'i = (m'i, m{); 
er berechnet die Komponenten ei und d[ durch 

ei^fiOC^rn'O 

55 

dj = hi(X'i, m'j) 

unter Verwendung des fi-Funktionsrechners und des hi-Funktionsrechners; und 

er gibt die Information e^, d\ und r* zusammen mit der offentlichen Information q und der geheimen Information Si in ei- 
nen Exponential komponenten-Multiplizierer und einen Exponenual komponenten- Addierer ein, worin y* mil der Signa- 60 
turfunktion Sgj errcchnet wird, und zwar durch 

yi = (yi-i + din + eisj mod q, 

und er setzt dann ID', = (TD'i_i un( l sendet die Nachricht {ID't, X\, m'i, yi) an den nachsten Unterzeichner (i + 1). 65 

Andcrerscits bildct der Verifizierer, wenn er die Nachricht {ID'l, X' L , rn' L , y L } von dem Unterzeichner L cmpfangt, X\ 
aus den ersten i Komponenten der Information X' L und m'i aus den ersten i Komponenten der Information m' L und gibt 
diese Informationen X'i und m'j dann in den fi-Funktionsrechner und den hj-Funktionsrechner ein, worin 
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ei = fi(X'i, m'j) 
di = hi(X'i, rn'O 

5 

berechnet werden, um fur jedes i (1 < i < L) die Komponenten e\ und di zu erhalten. Der Verifizierer leitet dann die ent- 
sprechende ofTcntliche Information Ij aus der IDi-Komponente in der Information ID' L und die Information Xj aus der 
X'L-Komponentc ab und gibt diese Informationen Ij und X\ sowie die oben erwahnten Komponenten c x und dj und die 6f- 
fentliche Information p in den Multikomponenten-Gruppenrechner ein, in welchem Z' durch sequentielles d^-faches 
10 Rechnen von X[ und ei-faches Rechnen von T\ fur die Werte i von 1 bis L erhalten wird; 

er gibt y L und die offentlichen Informationen p und g in den Gruppenrechner zur y L -fachen Berechnung von g ein, um da- 
durch W zu erhalten; und 

er gibt Z' und W in den Komparator ein, um zu priifen, obWs Z\ 
Wenn die beiden ubereinstimmen, erkennt der Verifizierer, daB das Dokument {ni!, . . ., mL) von den L autorisierten 
15 Unterzeichnem ordnungsgemaB unterzeichnet wurde. 

Auch bei diesem typischen Schema sind jede Unterzeichnervorrichtung, eine Benutzervorrichtung und ein Aufzeich- 
nungs- oder Speichermedium in ahnlicher Weise aufgebaut. 

Wahrend bei dem Voranstehcnden gilt ID'i = QD\-\ IDi), > st cs aucn moglich, die Einstellung so vorzusehen, daB ID'* 
=(TD\_ii- W- Dies erspart der Verifizierervorrichtung die Muhe der Suche nach der Identifikationsinformation H>, fur die 
20 offentliche Information Ij. 

Ausfiihrungsbeispiel 2 

Wenn bei dem tJberiagerungssignaturschema und der Block-Signaturverifikation dafur, die oben unter Bezugnahme 

25 auf die Fig. 2 bis 6 beschrieben wurden, das von dem (i=l)-ten Unterzeichner entsprechend der Unterzeichnervorrich- 
tung 30i zu unterzeichnende Dokument mi auf in gesetzt wird und die Dokumente m 2 , . . ., m L in den Unterzeichnervor- 
richtungen 302 bis 30l alle leer gemacht werden, werden die Unterzeichner 1 bis L das Dokument m auf Mehrfachsigna- 
turbasis unterzeichnen. Ein Ausfiihrungsbeispiel dieses Falles wird nachfolgend beschrieben. Dabei geht die Beschrei- 
bung von der Verwendung des Schnorr-Schemas aus. 

30 Der Systemaufbau bei diesem Ausfiihrungsbeispiel ist der gleiche wie in Fig, 1 A, und die Zentrale 100 ist ebenfalls 
identisch rnit der in Fig. 2 gezeigten aufgebaut. AuBerdem fiihrt die Zentrale 100 dieselbe Verarbeitung wie bei dem er- 
sten Ausfiihrungsbeispiel aus und erzeugt offentliche Information {p, q, g} mittels der anfanglichen Informationsein- 
stellverarbeitung und liefert sie an die Unterzeichnervorrichtungen 30i bis 30 L sowie die Verifizierervorrichtung 800. 
Die Verarbeitung fur den Unterzeichner i zum Einschreiben in das System ist ebenso die gleiche wie im Fall des ersten 

35 Ausfuhrungsbeispiels, weshalb auch die Unterzeichnervorrichtung 30* gleich der in Fig. 3 gezeigten ist. Der Unterzeich- 
ner i erzeugt die offentliche Information Ij mit dieser Verarbeitung und sendet sie sowie die Einweg-Funktionen fj und hj 
und die Identifikationsinformation IDj uber den sicheren Kommunikationskanal 400 an die Zentrale 100, damit diese In- 
formation dort als die offentliche Information {IDi, Ii, hi) registriert wird. Zugleich halt der Unterzeichner i Sj als ge- 
heime Information im Speicher 33. 

40 Die anderen Unterzeichnervorrichtungen fuhren die gleiche Verarbeitung aus, wenn sie sich in das System einschrei- 
ben. 

Bei diesem Ausfiihrungsbeispiel wird die unterzeichnete Nachricht des Dokuments m, die von dem Unterzeichner i 
ausgegeben wird, durch (H)\, X'i, m, yi} reprasentiert. Der Unterzeichner (i-1) sendet die zu unterzeichnende Nachricht, 
und der Unterzeichner i erzeugt seine Signatur der Nachricht und fiigt sie dieser bei und sendet die unterzeichnete Nach- 
45 richt an den nachsten Unterzeichner (i+1). Wenn L Unterzeichner nacheinander die Nachricht unterzeichnen, wird i 
schrittweise um eins von 1 auf L erhoht und die nachfolgende Prozedur wiederhoit. Bei diesem Ausfiihrungsbeispiel 
wird der Unterzeichner (L+l) als Verifizierer betrachtet. In diesem Fall gilt ID'o = leere Menge, X'o = leere Menge und yo 
= 0. 

50 (2-A) Verarbeitung beim Unterzeichner i zur Signaturerzeugung 

Fig. 7 zeigt eine Interaktionsfolge einer Nachricht, und Fig. 8 zeigt den funktionalen Aufbau der Unterzeichnervor- 
richtung 30j. Nach Empfang der Nachricht {ID'n, X'n, m, yi_i) von dem Unterzeichner (i-1) fuhrt der Unterzeichners i 
die folgende Signaturerzeugungsverarbeitung aus. In dem Speicher 33 sind die offentliche Information {p, q, g}, die von 
55 der Zentrale 100 erhalten wird, die geheime Zufallszahl Si und die Identifikationsinformation IDi gespeichert. 

Schritt SI: Der Unterzeichner i erzeugt die Zufallszahl r t mit dem Zufallsgenerator 310 und gibt sie in den Modulo- 
Exponentiator 320 zusammen mit den offentlichen Informationen p und g ein, so daB X[ unter Verwendung der Funktion 
O gemaB der nachstehenden Gleichung (31) berechnet wird: 

60 X i = 0(r i ,g) = g r i modp (31) 

Schritt S2: Der Unterzeichner i verwendet den fi-Funktionsrechner 330 und den hi-Funktionsrechner 340 zur Berech- 
nung der beiden Informationen c\ bzw. di mittels der nachstehenden Gleichungen 

65 e i = f i (X* i ,m) (32) 

d^hiCX^m) (33) 
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e i = f i (X , i ,ni , i ) 
di = hj(X'i, m'i) 

5 

berechnet werden, um fur jedes i (1 < i < L) die Komponenten ei und di zu erhalten. Der Verifizierer leitet dann die ent- 
sprechende offentliche Information \ aus der EDi-Komponente in der Information E)' L und die Information X* aus der 
X'L-Komponente ab und gibt diese Informationen Ij und X; sowie die oben erwahnten Komponenten ej und dj und die of- 
fentliche Information p in den Multikomponenten-Gruppenrechner ein, in welchem Z' durch sequentielles oY-faches 
10 Rechnen von Xi und ej-faches Rechnen von r l\ fur die Werte i von 1 bis L erhalten wird; 

er gibt y L und die offentlichen Informationen p und g in den Gruppenrechner zur y L -fachen Berechnung von g ein, um da- 
durch W zu erhalten; und 

er gibt Z' und W in den Komparator ein, um zu prufen, obWs Z\ 
Wenn die beiden ubereinstimmen, erkennt der Verifizierer, daB das Dokument {m l? . . m L } von den L autorisierten 
15 Unterzeichnern ordnungsgemaB unterzeichnet wurde. 

Auch bei diesem typischen Schema sind jede Unterzeichnervorrichtung, eine Benutzervorrichtung und ein Aufzeich- 
nungs- oder Speichermedium in ahnlicher Weise aufgebaut. 

Wahrend bei dem Voranstehenden gilt ID'i = (IDVi JD{) y ist es auch moglich, die Einstellung so vorzusehen, daB ID'i 
=(TD'i_i» li)- Dies erspart der Verifizierervorrichtung die Miihe der Suche nach der Identifikationsinformation ID-, fur die 
20 offentliche Information Ii. 

Ausfuhrungsbeispiel 2 

Wenn bei dem Uberlagerungssignaturschema und der Block-Signaturverifikation dafur, die oben unter Bezugnahme 

25 auf die Fig. 2 bis 6 beschrieben wurden, das von dem (i=l)-ten Unterzeichner entsprechend der Unterzeichnervorrich- 
tung 30! zu unterzeichnende Dokument auf in gesetzt wird und die Dokumente m 2 , . . ., m L in den Unterzeichnervor- 
richtungen 302 bis 30l alle leer gemacht werden, werden die Unterzeichner 1 bis L das Dokument m auf Mehrfachsigna- 
turbasis unterzeichnen. Ein Ausfuhrungsbeispiel dieses Fallcs wird nachfolgend beschrieben. Dabei geht die Beschrci- 
bung von der Verwendung des Schnorr-Schemas aus. 

30 Der Systemaufbau bei diesem Ausfuhrungsbeispiel ist der gleiche wie in Fig. 1 A, und die Zentrale 100 ist ebenfalls 
identisch mit der in Fig. 2 gezeigten aufgebaut. AuBerdem fuhrt die Zentrale 100 dieselbe Verarbeitung wie bei dem er- 
sten Ausfuhrungsbeispiel aus und erzeugt offentliche Information {p, q, g} mittels der anfanglichen Informationsein- 
stellverarbeitung und liefert sie an die Unterzeichnen'orrichtungen 30i bis 30l sowie die Verifizierervorrichtung 800. 
Die Verarbeitung fiir den Unterzeichner i zum Einschreiben in das System ist ebenso die gleiche wie im Fall des crsten 

35 Ausfuhrungsbeispiels, weshalb auch die Unterzeichnervorrichtung 30i gleich der in Fig. 3 gezeigten ist. Der Unterzeich- 
ner i erzeugt die offendiche Information l\ mit dieser Verarbeitung und sendet sie sowie die Einweg-Funktionen f\ und hj 
und die Identifikationsinformation K>i uber den sicheren Kommunikationskanal 400 an die Zentrale 100, damit diese In- 
formation dort als die offendiche Information {D>„ Ii, fj, h,} registriert wird. Zugleich halt der Unterzeichner i s^ als ge- 
heime Information im Speicher 33. 

40 Die anderen Unterzeichnervorrichtungen fuhren die gleiche Verarbeitung aus, wenn sie sich in das System einschrei- 
ben. 

Bei diesem Ausfuhrungsbeispiel wird die unterzeichnete Nachricht des Dokuments m, die von dem Unterzeichner i 
ausgegeben wird, durch {ID'i, X'i, m, yi} reprasentiert. Der Unterzeichner (i-1) sendet die zu unterzeichnende Nachricht, 
und der Unterzeichner i erzeugt seine Signatur der Nachricht und fugt sie dieser bei und sendet die unterzeichnete Nach- 
45 richt an den nachstcn Unterzeichner (i+1). Wenn L Unterzeichner nacheinander die Nachricht unterzeichnen, wird i 
schrittweise um eins von 1 auf L erhoht und die nachfolgende Prozedur wiederholt. Bei diesem Ausfuhrungsbeispiel 
wird der Unterzeichner (L+l) als Verifizierer betrachtet. In diesem Fall gilt ID'o = leere Menge, X'o = leere Menge und yo 
= 0. 

50 (2- A) Verarbeitung beim Unterzeichner i zur Signaturerzcugung 

Fig. 7 zeigt eine Interaktionsfolge einer Nachricht, und Fig. 8 zeigt den funktionalen Aufbau der Unterzeichnervor- 
richtung 30j. Nach Empfang der Nachricht {ID'i-i, XVi, m, yi_i} von dem Unterzeichner (i-1) fuhrt der Unterzeichners i 
die folgende Signaturerzeugungsverarbeitung aus. In dem Speicher 33 sind die offentliche Information {p, q, g}, die von 
55 der Zentrale 100 erhalten wind, die geheime Zufallszahl sj und die Identifikationsinformation IDj gespeichert. 

Schritt SI: Der Unterzeichner i erzeugt die Zufallszahl rj mit dem Zufallsgenerator 310 und gibt sie in den Modulo- 
Exponentiator 320 zusammen mit den offentlichen Informationen p und g ein, so daB Xi unter Verwendung der Funktion 
<J> gemaB der nachstehenden Gieichung (31) berechnet wird: 

60 X i = <D(ri,g) = g r imodp (31) 

Schritt S2: Der Unterzeichner i verwendet den f r Funktionsrechner 330 und den hi-Funkdonsrechner 340 zur Berech- 
nung der beiden Informationen q bzw. dj mittels der nachstehenden Gleichungen 

65 ei = fi(X'i,m) (32) 

d^hiPCVm) (33) 
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wobei X^CXVi, Xj). 

Schritt S3: DerUnterzeichner i gibtdiese Informationen d\ undr, in den Modulo-Exponentiator350 unddann in den 
Modulo- Addierer 360 zusammen mit der offentlichen Information q und der geheimen Information Si ein, urn dadurch 
mit der Signaturfunktion Sgi yj wie folgt zu erzeugen: 

yi = Sgi (ei, di, si, r„ vm) = (y^ + d^ + eiSi) mod q (34). 

Schritt S4: Der Unterzcichncr i sctzt ID'i = (ID'j_i, IDj) und scndct die Nachricht {ED*i, X'i, m, y\] an den nachsten Un- 
terzeichner (i+1). 

(2-B) Verarbeitung beim Verifizierer zur Signaturverifikation 



g y L - g y L-i (g r L) d L(g s L ) e L - g y uiX L d L I L e L - ... - XfxVx . . . X L d L lL e L (mod p) (39). 



10 



Fig. 9 zeigt den funktionalen Aufbau der Verifizierervorrichtung 800. Wenn der Verifizierer die Nachricht {ID'l, X' l , 
m, yi} von dem Unterzeichner L empfangt, verifiziert er die Gultigkeit jeder Signatur mittels der nachstehend beschrie- 
benen Verarbeitung. 15 

Schritt S5: Der Verifizierer 800 bildet X\ durch die ersten i Komponenten der Information X' L und gibt sie und das Do- 
kument m in den f r Funktionsrechner 810 und den hj-Funktionsrechner 820 ein, worin die Komponenten ej bzw. d L mittels 
der nachstehenden Gleichungen berechnet werden: 

e i = f i (X' i ,m)=:fi(X l ,...,Xi,m) (35) 20 

d i =h i (X' i ,m)=h i (X 1 ,...,X i ,m) (36) 

Schritt S6: Der Verifizierer 800 leitet Information I; von der IDi-Komponente in der Information ED'l ab und extrahiert 
die Xi-Komponente in der Information X' L und gibt diese Komponenten in den Multikomponenten-Modulo-Exponentia- 25 
tor 830 zusammen mit den Komponenten e* und di und der offentlichen Information p ein, so daB T mit der Verifikati- 
onsfunktion V gemaB nachstehender Gleichung berechnet wird: 



30 



Z = V(Xi*di), (IM I i = 1, . . L) = XAh'i • • • X L d L I L e L mod p (37) 

Schritt S7: Der Verifizierer 800 gibt die Information yL zusammen mit der offentlichen Information {p, g), die im 
Speicher 88 gespeichert ist, in den Modulo-Exponentiator 840 ein, um W mit der Funktion T in folgender Weise zu be- 
rechnen: 

W=r(y L *g)==g* L modp (38) 35 

Schritt S8: Der Verifizierer 800 gibt Z' und W in einen Komparator 850 ein, wo sie miteinander verglichen werden um 
zu sehen, ob W = Z\ 

Wenn diese Bedingung erfiillt ist, wird davon ausgegangen, daB das Dokument in von den L autorisierten Unterzeich- 
nern ordnungsgemaB unterzeichnet wurde. 40 

Ein verbesserter Quadrier-und-Multiplizier-Algorithmus zur Berechnung von x*y b mod N in dem Multikomponenten- 
Modulo-Exponentiator kann der gleiche wie der zuvor in Verbindung mit dem ersten Ausfuhrungsbeispiel beschriebene 
sein. 

Unter Beriicksichtigung des Weges der Erzeugung von y L gilt: 



45 



Wenn somit das Dokument in den oben genannten Test durch den Komparator 850 besteht, akzeptiert die der Verifi- 
zierer 800 das Dokument in als ordnungsgemaB von den L autorisierten Unterzeichnern unterzeichnet. 

Es ist auch moglich, das System so auszugestalten, daB der Unterzeichner i vor seiner Signaturerzeugung priift, ob die 50 
empfangene Nachricht {ID'i-i, XVl, m, yn} von den vorhergehenden Unterzeichnern 1 bis (i-1) ordnungsgemaB unter- 
zeichnet wurde, und, wenn dies der Fall ist, seine Signatur an der verifizierten Nachricht anbringt. In diesem Fall kann 
die Verification in gleicher Weise wie in den Schritten S10 bis S13 bei dem Verifizierer 800 ausgefiihrt werden. Dabei 
wird L in den Schritten S10 bis S13 durch (i-1) ersetzt. 

Die Unterzeichnervorrichtungen und die Verifizierervorrichtung fuhren die oben beschriebene Verarbeitung in der Re- 55 
gel mit Hilfe von Computem aus. 

Wie zuvor erwahnt, ist dieses zweite Ausfuhrungsbeispiel nicht nur auf die Schnorr-Schemata anwendbar, sondern 
auch auf die Fiat-Shamir-Schemata und digitate Signaturschemata, die die interaktiven Prufungen einschlieBlich der 
Fiat-Shamir-Schemata verwenden. DemgemaB kann das Verfahren gemaB der vorliegenden Erfindung allgemein wie 
folgt zusammengefaBt werden: 60 
Die Systemparameter, die veroffentlicht werden, sind p zur Angabe der Anzahl von Elementen der Gruppe, ein Element 
g der Gruppe, mit dem eine Gruppenberechnung beginnt, und eine positive ganze Zahl q derart, daB, wenn das Element g 
q-mal berechnet wird, die Rechnung zu dem Element g zuruckkehrt. 

Der Unterzeichner i erzeugt die Zufallszahl ^ mittels des Zufallsgenerators bei seiner Einschreibung in das System 
und gibt die Zufallszahl sj und die offentlichen Informationen g und p in einen Gruppenrechner ein, in welchem das Ele- 65 
ment g Si-mal gerechnct wird, um die ofTentliche Information Ii zu bercchnen; und 

veroffentlicht die offentliche Information Ij und die Einweg-Funktionen f { und h } zusammen mit der Identifikationsinfor- 
mation JD\, behalt jedoch die Zufallszahl s^ als geheime Information. 
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Bei der Signaturerzeugungsverarbeitung nach Empfang der unterzeichneten Nachricht {TD\_\ X'|_i, m, y§_i} von dem 
Unterzeichncr (i-1) auf der Basis der Nachricht m, macht der Unterzeichner i folgendes: 

er erzeugt die Zufallszahl r unter Verwendung des Zufallsgenerators, gibt sie dann zusammen mit den offentlichen Infor- 
mationen p und g in den Gruppenrechner ein, um das Element g r,-mal zum Erhalt der Information Xi zu rechnen, und 
5 setztX'i^CXVitXi); 

er berechnet die Komponenten ej und d» durch 

Ci =:fi(XVni) 

10 di = hi(X'i, m) 

unter Verwendung des fj-Funktionsrechners und des hi-Funktionsrechners; und 

er gibt die Informationen ei, di und ri zusammen mit der offentlichen Information q und der geheimen Information s^ in ei- 
nen Exponentialkomponenten-Multiplizierer undExponentialkomponenten-Addierer ein, worin yi mit der Signaturfunk- 
15 tion Sgj errechnet wird, und zwar durch 

yi = Sgifc, d L , s L , ri, y^) = (y^ + dfi + e^sO mod q, 

und er setzt dann ID'; =(TD'i_i , EDO und sendet die Nachricht {ID*;, X'j, m, y\] an den nachsten Unterzeichner (i+1). 
20 Andererseits bildet der Verifizierer 800, wenn er die Nachricht (ID' L , X' L , m, y L } von dem Unterzeichner L empfangt, 
X'j aus den ersten i Komponenten der Information X' L und gibt die Informationen X'j und in dann in den fi-Funkuons- 
rechner und den hj-Funktionsrechner ein, worin 

e i = f i (X' i , m) 

25 

di = hi(XVm) 

berechnet werden, um ftir jedes i die Komponenten q und dj zu erhalten. Der Verifizierer leitet dann die entsprechende 
offentliche Information Ii aus der IDi-Komponente in der Information ED' L und die Information X\ aus der X' L -Kompo- 
30 nente ab und gibt diese Informationen Ij und Xj sowie die oben erwahnten Komponenten e, und dj und die offentliche In- 
formation p in den Multikomponenten-Gruppenrechner ein, in welchem Z durch sequentielles dj-faches Rechnen von Xj 
und ej-faches Rechnen von Tj fur die Werte i von 1 bis L erhalten wird; 

er gibt y L und die offentlichen Informationen p und g in den Gruppenrechner zur yt-fachen Berechnung von g ein, um da- 

durch W zu erhalten; und 
35 er gibt Z' und W in den Komparator ein, um zu priifen, ob W = Z\ 

Wenn die beiden ubereinstimmen, erkennt der Verifizierer, daB das Dokument m von den L autorisierten Unterzeich- 

nern ordnungsgemaB unterzeichnet wurde. 
Auch bei diesem typischen Schema sind die einzelnen Unterzeichnervorrichtungen, eine Benutzervorrichtung und ein 

Aufzeichnungs- oder Speichermedium in ahnlicher Weise aufgebaut. 
40 Wahrend bei dem Voranstehenden gilt ID'i = (IDVi, IDj), ist es auch moglich, die Einstellung so vorzusehen, daB TD\ 

=(ID , i_i, Ii)- Dies erspart dem Verifizierer die Miihe der Suche nach der Identifikationsinformation E>i flir die offentliche 

Information l\. 

Ausfiihrungsbeispiel 3 

45 

Als nachstes wird in Verbindung mit dem Fall des Einsatzes des Schnorr-Schemas ein Ausfuhrungsbeispiel beschrie- 
ben, bei dem in dem System von Fig. IB die Unterzeichner entsprechend den Unterzeichnervorrichtungen 30 1 bis 30l 
einzeln ihre Signatur an jeweiligen Dokumenten m! bis m L anbringen und sie an die Verifizierervorrichtung 800 liefem, 
damit die unterzeichneten Dokumente dort en-bloc verifiziert werden. Die Idee der \ferwendung der zweiten Exponenti- 
50 alkomponente, die unten beschrieben wind, ist ebenso in weitem Umfang auf die Fiat-Shamir-Schemata und digitale Si- 
gnaturschemata anwendbar, die diese enthaltende interaktive Prufungen verwenden. 

(3-A) Anfangliche Informationseinstellverarbeitung 

55 Die Zentrale 100 stirnmt in ihrer Ausgestaltung mit derjenigen von Fig. 2 hinsichtlich der anfanglichen Informations- 
einstellverarbeitung uberein, bei der die Werte {p, q, g}, die fiir das System einzigartig sind, veroffentlicht werden, wes- 
halb die folgende Verarbeitung auch die gleiche wie die im Fall von Fig. 2 ist: 

Schritt SI: Die Zentrale 100 erzeugt die Primzahl p mittels des Primzahlgenerators 110 und die Primzahl q, die ein MaB 
fiir p-1 ist, mittels des Dividierers 120. 
60 Schritt S2: Die Zentrale 100 erzeugt das Grundelement a von (Z/pZ)* mittels des Grundelementgenerators 130 und die 
ganze Zahl g der Ordnung bzw. des Grads q als den vorhcr erwahnten Parameter p durch die nachfolgendc Berechnung 
unter Verwendung des Modulo-Exponentiators 140, der die Funktion Gl berechnet, die zuvor in Verbindung mit den 
Prinzipien der vorliegenden Erfindung beschrieben wurde: 

65 P=g = Gi(q) = a ( P- l ^rnodp (40) 

Schritt S3: Die offentliche Information {p, q, g) wird an die Unterzeichnervorrichtungen 30!,..., 30l und die Verifizie- 
rervorrichtung 800 uber die sicheren Kanale 400 geschickt. 
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(3-B) Verarbeitung durch den Unterzeichner i im Moment des AnschlieBens an das System 

Als nachstes erfolgt unter Bezugnahme auf Fig. 10 eine Beschreibung der Verarbeitung, die beim Unterzeichner i fur 
sein Einschreiben bei dem System ausgefuhrt wird. Es wird angemerkt, daB in dem Speicher 33 die offentliche Informa- 
tion {p, q, g} gespeichert ist, die von der Zentrale 100 empfangen wird. 

Schritt S4: Der Unterzeichner i erzeugt eine Zufallszahl Si mittels des Zufallsgenerators 31 und gibt sie sowie die 6f- 
fentlichcn Informationen g (= P) und p in den Modulo-Exponentiator 32 ein, der die Funktion G 2 (si, P) berechnet, auf die 
zuvor in Verbindung mit den Prinzipien der Erfindung verwiesen wurdc. Auf diesc Wcisc wird zum Erhalt der offcndi- 
chen Information Ii die folgende Berechnung ausgefuhrt: 

Ii = Cj 2 (Si,g) = g s imodp (41) 
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Schritt S5: Der Unterzeichner i sendet die IdentifikaUonsinformation IDi , die offentliche Information l\ und die Ein- 
wegfunktionen fj und hi uber den sicheren Kanal 400 an die Zentrale 100, wo sie als offentliche Information registriert 
werden. Zugleich behalt der Unterzeichner i die Zufallszahl s^ als geheime Information im Speicher 33. 15 

Bei den anderen Unterzeichnern wird dieselbe Verarbeitung ausgefuhrt, wenn sie sich bei dem System einschreiben. 

In der folgenden Beschreibung wird das unterzeichnete Dokument mit {E>i, Xi, mj, y^ identifiziert, und zwar in der 
Annahmc, daB der Unterzeichner i das Dokument mi unterzeichnet. 

(3-C) Verarbeitung beim Unterzeichner i zur Signaturerzeugung 20 

Fig. 11 zeigt Interaktionsfolgen von Nachrichten, und Fig. 12 zeigt den funktionalen Aufbau der Unterzeichnervor- 
richtung 30[. 

Schritt S6: Der Unterzeichner i (Unterzeichnervorrichtung 30j) erzeugt die Zufallszahl rj mittels des Zufallsgenerators 
310 und gibt sie in den Modulo-Exponentiator 320 ein, der die Funktion O berechnet, und zwar zusammen mit den of- 25 
fentlichen Informationen p und g. Xi wird auf folgende Weise errechnet: 

X i = ^(r i ,g) = g r i modp (42) 

Schritt S7: Der Unterzeichner i verwendet den f r Funktionsrechner 330 und den hi-Funktionsrechner 340 zur Berech- 30 
nung der beiden Informationen q bzw. di aufgrund der nachstehenden Gleichungen 

ei-QCXbiq) (43) 

di = hi(X ijm 0 (44). 35 

Schritt S8: Der Unterzeichner i gibt diese Informationen di und r\ in den Modulo-Exponentiator 350 und dann in den 
Modulo- Addierer 360 zusammen mit der offentlichen Information q und der geheimen Information S| ein, um mit der Si- 
gnaturfunktion Sgi in nachstehender Weise yi zu berechnen: 

40 

yi = Sgi(ei, di, su n, q) = (d^ + as{) mod q (45). 
Schritt S9: Der Unterzeichner i sendet die Nachricht {D> t , Xi, m^ y\] an den Verifizierer 800. 

(3-D) ProzeB beim Verifizierer zur Signaturverifikation 45 

Fig. 13 zeigt den funkuonalen Aufbau der Verifizierervorrichtung 800. In dem Speicher 88 ist die offentliche Informa- 
tion (p, q, g} gespeichert, die von der Zentrale erhalten wird. Wenn er die L Nachrichten {IDi, Xi, mi, yj} von den L Un- 
terzeichnern empfangt, fuhrt der Verifizierer 800 die nachfolgende Verarbeitung aus, um die jeweiligen Signaturen en- 
bloc zu verifizieren. 50 

Schritt S 10: Der Verifizierer 800 gibt die Information X\ und das Dokument mj in den fi-Funktionsrechner 810 und den 
hi-Funktionsrechner 820 ein, in denen die Komponenten ej bzw. d\ (1 < i < L) jeweils berechnet werden durch 



ei = fi(X L , mO) 
di = hi(Xj, mj). 
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Schritt Sll : Der Verifizierer 800 empfangt von der Zentrale 100 die offentliche Information Ij entsprechend der Iden- 
tifikationsinformation IDi und gibt die offentliche Information Ii zusammen mit den Komponenten e\ und dj, die in oben 
beschriebener Weise erzeugt wurden, und der offentlichen Information p in den Multikomponenten-Modulo-Exponen- 60 
tiator 830 ein, wo Z' gernaB nachfolgcnder Gleichung (46) berechnet wird 

Z = V(Xi*di), (Ii*ei) i i = 1 L) = (X 1 d 1 I 1 e l . . . X L d L I L e L> mod p (46). 

Schritt SI 2: Der Verifizierer 800 gibt L Informationen yj (y t bis y L ) und die offentliche Information q in den Modulo- 65 
Addierer 840 ein, um auf folgende Weise einen akkumulierten Wert Y zu berechnen 
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L 

Y = £y i modq. (47) 

5 

Dann gibt der Verifizierer 800 Y und die offentiiche Information {p, q} in den Modulo-Exponentiator 845 ein, der die 
Funktion T(Y*g) berechnet. W wird auf folgende Weise berechnet 

W = r(Y*g) = g y modp (48). 

10 

Schritt S13: 7! und W werden einem Komparator 850 eingegeben, wo sie verglichen werden urn festzustellen, ob W = 

Z\ 

Wenn dies der Fall ist, wird davon ausgegangen, daB das Dokument in von dem jeweiligen der L autorisierten Unter- 
zeichner ordnungsgemaB unterzeichnet wurde. 
15 Fines der Verfahren der Quadrier-und-Multiphzier-Algorithmen zur Berechnung von x*y b mod N in dem Multikom- 
ponenten-Modulo-Exponentiator 830 ist das gleiche wie das voranstehend beschriebene. 

Unter Beriicksichtigung der Art der Erzeugung des akkumulierten Werts Y gilt 

g y ^ g y L-i (g r iA(g 8 L) e L = g y L-i X L d L I L c L ^ . . . ^ XA . . . X L d L h c i . . . Il c l (mod p) (49). 

20 

Wenn somit die Dokumente mi den obigen Test mittels des Komparators 860 passieren, akzeptiert der Verifizierer 800 
die Dokumente als von den L autorisierten oder giiltigen Unterzeichnern ordnungsgemaB unterzeichnet. 

Es erfolgt nun eine Beschreibung der Verarbeitung in dern Fall, wo W = Z' in Schritt S 13 nicht erfullt ist. Beispiels- 
weise werden, wenn L = 100, die Nachrichten {IDi, X lt m\> yj) in zwei Gruppen (L/2 = 50) unterteilt, und die Verarbei- 
25 tung der Schritte S9 bis S 1 3 wird fiir die Nachrichten einer der beiden Gruppen ausgefuhrt um festzustellen, ob eine Fehl- 
ubereinstimmung zwischen ihnen gefunden wird. Wenn eine Fehliibereinstimmung gefunden wird, werden die Nach- 
richten dieser Gruppe weiter in zwei Untergruppen unterteilt. Wird keine Fehlubereinstimmung gefunden, werden die 
Nachrichten der anderen Gruppe in zwei Untergruppen unterteilt. Dann werden die Nachrichten einer der beiden Unter- 
gruppen der Verarbeitung der Schritte S9 bis S 13 unterzogen. Durch Wiederholen dieser Verarbeitung ist der Verifizierer 
30 in der Lage, den Unterzeichner zu identifizieren, der das betroffene Dokument nicht ordnungsgemaB unterzeichnet hat. 

Wie zuvor erwahnt, ist die vorliegende Erfindung nicht nur auf die Schnorr-Schemata, sondern auch auf die Fiat-Sha- 
mir-Schemata und digitate Signaturschemata anwendbar, die die interaktiven Priifungen unter EinschluB der Fiat-Sha- 
mir-Schemata verwenden. DemgemaB kann das Verfahren der vorliegenden Erfindung allgemein wie folgt zusammen- 
gefaBt werden: 

35 Die Systemparameter, die veroffentlicht werden, sind p zur Spezifizierung der Anzahl von Elementen in der Gruppe, ein 
Element g der Gruppe, mit der die Gruppenberechnung beginnt, und eine positive ganze Zahl q derart, daB, wenn das Ele- 
ment g q-mal berechnet wird, die Rechnung zum Element g zuriickkehrt. 

Der Unterzeichner i erzeugt die Zufallszahl sj mittels des Zufallsgenerators zum Zeitpunkt des Einschreibens in das 
System und gibt die Zufallszahl si und die offentlichen Informationen g und p in einen Gruppenrechner ein, wo das Ele- 

40 ment g s r mal berechnet wird, um die offentiiche Information Ij zu berechnen, und 

veroffentlicht die offentiiche Information Ii die Funktionen f\ und hi zusammen mit der Identifikationsinformation IDi, 
behalt jedoch die Zufallszahl Si als geheime Information. 

Bei der Signaturerzeugungsverarbeitung fuhrt der Unterzeichner i folgendes aus: 
er erzeugt die Zufallszahl q unter Verwendung des Zufallsgenerators und gibt sie dann zusammen mit den offentlichen 

45 Informationen p und g in den Gruppenrechner ein, um das Element g r,-mal zu berechnen und die Information X\ zu er- 
halten; 

er berechnet die Komponenten ei und di gemaB 
ej = fi(Xi, mO 

50 

di = h[(Xi, mi) 

unter Verwendung des fi-Funktionsrechners und des hi-Funktionsrechners; und 

er gibt die Informationen ei, di und q zusammen mit der offentlichen Information q und der geheimen Information ^ in ei- 
55 nen Expontentialkomponenten-Multiplizierer und einen Expontentialkomponenten-Addierer ein, um yi in folgender 
Weise zu berechnen 

yi = (diri + eiSi)modq 

60 und erhalt auf diese Weise die Nachrichten {IDi, Xj, mj, yi) und sendet sie an den Verifizierer. 

Wenn er die Nachrichten {IDi, Xi, mi, yi } (1 < i < L) von den L Unterzeichnern empfangt, gibt der Verifizierer die In- 
formation Xj und die Nachricht mi in den fi-Funktionsrechner und den hi-Funktionsrechner ein, in denen 

^ = fi(Xi, mO 

65 

di = hi(Xj, uii) 

berechnet werden, um die Komponenten e^ und d { fur alle Werte von i zu erhalten. Der Verifizierer leitet dann die offent- 
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liche Information Ii aus der Identifikationsinformation IDi ab und gibt diese Informationen I[ und Xi sowie die oben er- 
wahnten Komponenten ei und d; und die offentliche Information p in den Multikomponenten-Gruppenrechner ein, worin 
Z' durch di-maliges sequentielles Berechnen von Xj und ei-maliges Berechnen von % fiir die Werte i von 1 bis L erhalten 
wird. 

Der Verilizierer gibt L Informationen y und die offentliche Information p in den Exponentialkomponenten-Addierer 5 
ein, um Y auf folgende Weise zu berechnen 

L 

Y = £yimodq 

M 10 



und gibt dann Y und die offentlichen Informationen p und g in einen Gruppenrechner ein, wo g zum Erhalt von W Y-mal 
berechnet wird. 

Z' und W werden in den Komparator eingegeben um zu priifen, obWsZ' und, wenn beide ubereinstimrnen erkennt 
der Verifizierer, daB die L Dokumente von den L autorisierten Unterzeichnern ordnungsgemaB unterzeichnet wurden. 15 

Die Unterzeichnervorrichtungen und die Verifizierervorrichtung fuhren die Verarbeitung gewohnlich mittels eines 
Computers aus. 

Wahrend bei den Ausfuhrungsbeispielen 1 bis 3 die Verwendung von Zq als kommutative Gruppe des endlichen Fel- 
des beschrieben wurde, das durch den Parameter q definiert ist, kann eine elliptische Kurve als die kommutative Gruppe 
verwendet werden. Dies lost das Problem der Zunahme der von dem Unterzeichner zur Signaturerzeugung zu verarbei- 20 
tenden Rechenmenge. Das RSA-Verschlusselungssystem griindet seine Sicherheit auf der Schwierigkeit des (eingangs 
erwahnten) Faktorzerlegungsproblems, wahrend die Sicherheit des sogenannten Ellipsen-Verschliisselungssystem auf 
einem diskreten Logarithmenproblem an einer elliptischen Kurve beruht, dessen Losung fur schwieriger gehalten wird 
als die des Faktorzerlegungsproblems. 

Das Folgende ist eine Definition einer elliptischen Kurve auf dem endlichen Feld GF(q), das durch die \ferwendung 25 
der Parameter a, b e GF(gX4a 3 + 27b 2 * 0) gegeben ist: 

Ea,b(GF(q)) = {(x, y) e GF(q) 2 ly 2 = x 3 + ax + b} U {0} (50) 

worin GF(q) ein Definitionsfeld der elliptischen Kurve Ea,b(GF(q)) genannt wird und 0 einen unendlichen Punkt angibt. 30 

Die Addition auf der elliptischen Kurve ist beispielsweise wie folgt: 
Wenn man setzt 

P i = (x i ,y i )e^(GF(q)), 

35 

(wobei i = 1, 2), kann (x 3 , y 3 ) = P t + P 2 wie folgt geschrieben werden: 

(a) wenn Pi ^ P 2 , und X = (y2-yi)/(xr x i) gesetzt wird, 

x 3 = X 2 -(x x + x 2 ), y 3 = -yi + X (x,-x 3 ) (51) 40 

(b) wenn Pt = P 2 , wenn also (x 3 , y 3 ) = 2P t , und X = (3x! 2 + a)/(2y0 gesetzt wird, 
x 3 = X 2 -2x u y 3 = -yi + X ( Xl -x 3 ) (52). 

45 

Die Gruppenberechnung auf der elliptischen Kurve ist beispielsweise beschrieben in D. R. Stinson, "CRYPTOGRA- 
PHY Theory and Practice", CRC Press, Seiten 187-190, 1995, In der folgenden Beschreibung wird die Addition von Pt 
und P 2 auf der elliptischen Kurve E^b (GF(q)) durch 



(P l +P 2 )uberE a , b (GF(q)) 50 
dargestellt. 

Da die gegenwartig bekannte Losung des diskreten Logarithmenproblems auf der elliptischen Kurve weniger effizient 
und schwieriger als die Losung des Faktorzerlegungsproblems ist, ist es moglich, den Parameter g des Definitionsfeldes 
der elliptischen Kurve klein zu machen und dementsprechend die beinhaltete Rechenkomplexitat zu verringern. Konkret 55 
sagt man, daB dieselbe Sicherheit wie im Fall von INI = 1024 durch Iql =160 garantiert werden kann, wobei Ipl, wie schon 
oben definiert, die Anzahl Bits der Primzahl p reprasentiert (siehe beispielsweise Bruce Schneicer, "APPLIED CRYP- 
TOGRAPHY (Second Edition)", John Wiley & Sons. Inc.,. Seiten 480-481, 1996). 

Das gewohnliche diskrete Logarithmenproblem besteht darin, daB, wenn eine ganze Zahl g e (Z/pZ)* = [1,2,..,, 
p-1 }, wobei p eine groBe Primzahl ist und g die Ordnung q hat, als offentliche Information geliefert wird, y e Z/qZ zu 60 
berechnen ist, fur das g y s= x (mod p) beziiglich einer ganzen Zahl x € (Z/pZ)* erfiillt ist. 

Andererseits besteht das diskrete Logarithmenproblem auf der ellipuschen Kurve darin, daB, wenn das Definitionsfeld 
GF(q), die Parameter a und b der ellipuschen Kurve und ein Punkt P e Ea,b(GF(q)) einer Ordnung k auf der elliptischen 
Kurve als offentliche Information geliefert werden, y e Z/kZ zu berechnen ist, das yP s X uber E^ b (GF(q)) beziiglich 
eines Punkts X auf der elliptischen Kurve erfulll . 65 

Der Punkt P wird Basispunkt genannt. yP = X gibt an, daB derBasispunktP, wenn er auf der elliptischen Kurve y-rnal 
addiert wird, mit dem Punkt X € E^b (GF(q)) zusammenfallt. Die y-fache Addition des Basispunkts P auf der ellipti- 
schen E^b (GF(q)) ist speziell durch yP uber E^b GF(q)) reprasentiert, das zur Definition einer Gruppenrechnung auf der 
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elliptischen Kurve verwendet wird. 

Bei Verwendung der oben dcfinierten Gruppenrechnung auf der elliptischen Kurve, konnten ein sogenanntes Diffie- 
Hellman-Key-Sharing-Schema, ein EIGamal-Verschliisselungssystem und ein EIGamal-Signaturschema, die die 
Schwierigkeit des gewohnlichen diskreten Logarithmenproblems nutzen, alle zu Schemata modifiziert werden, die die 
5 Schwierigkeit des diskreten Logarithmus auf der elliptischen Kurve nutzen. 

Die Schnorr- und die Fiat-Shamir-Schemata, die interaktive Priifungen verwenden, konnten ebenfalls zu Schemata 
modifiziert werden, die die Schwierigkeit des diskreten Logarithmus auf der elliptischen Kurve nutzen. Eine Bcschrei- 
bung erfolgt beispielsweise fur eine digitale Signatur mittels des Schnorr-Schcmas unter Einsatz der elliptischen Kurve. 

Eine vertrauenswurdige Institution (vertrauenswurdige Zentrale) verbffentlicht den Parameter q des Definitionsfeldes 
10 GF(q), den Parameter a,b,GF(q) der elliptischen Kurve und den Basispunkt P € E^b (GF)q)) einer Ordnung bzw. eines 
Grads k auf der elliptischen Kurve. 

Schritt 1: Ein Unterzeichner A erzeugt eine Zufallszahl s e (Z/kZ) und berechnet offentliche Information I durch 

^sPiiberEa.bCGFCq)) (53) 

15 

und verbffentlicht ein Paar aus Identifikationsinformationen (ID) und Information I. 

Der Unterzeichner A durchlauft die folgende Prozedur, um einem Verifizierer B zu beweisen, daB ein Dokument m 
echt ist. 

Schritt 2: Der Unterzeichner A erzeugt eine Zufallszahl r e (Z/kZ) und berechnet 

20 

X = rPuberE atb (GF(q)) (54). 

Schritt 3: Der Unterzeichner A berechnet eine ganze Zahl e e (Z/kZ) unter Verwendung einer Einweg-Funktion f 
durch 

25 

e = f(X,m) (55). 

Schritt 4: Der Unterzeichner A erzeugt eine Signatur y durch 

30 y = (r + es)modk (56) 

und sendet {ED, m, X, y} als eine unterzeichnete Nachricht an den Verifizierer B. 
Schritt 5: Der Verifizierer B berechnet die ganze Zahl e e (Z/kZ) unter Verwendung der Einweg-Funktion f durch 

35 e = f(X, m). 

Schritt 6: Der Verifizierer B priift, ob 

yP ss (X + el) uber Ea, b (GF(q)) (57) 

40 

erfullt ist, wobei I offentliche Information entsprechend der Identiflkationsinformation ID ist. 
Unter Beriicksichtigung des Wegs zur Erzeugung von y gilt 

yPs(r+es)PsrP + e (sP) = (X + el) uber E^ (GF(q)) (58). 

45 

Wenn somit Gleichung (57) erfullt ist, erkennt der Verifizierer B, daB das Dokument m von dem Unterzeichner A ord- 
nungsgemaB unterzeichnet ist. 

Bei dem Voranstehenden konnte die Signatur des Unterzeichners A gefalscht werden, falls {ID, X, m, y} als unter- 
zeichnete Nachricht gesendet wiirde, wenn die ganze Zahl e e (Z/kZ), fiir die e = f(X, m) gilt, durch Berechnung von X 
50 e E a>b (GF(q)) ennittelt werden konnte, welches die Verifikationsgleichung erfullt, nachdein die ganzen Zahl en e e 
(Z/kZ) und y e (Z/kZ) geeignet gewahlt wurden. Da die Wahrscheinlichkeit, daB die Verifikationsgleichung e = f(X, m) 
erfullt ist, 1/k ist, hangt die Rechenkomplexitat, die mit der Falschung der Signatur verbunden ist, von dem Wert k ab. 

Das ellipusche Schnorr-Schema beinhaltet die Berechnung der Gleichungen (51) und (52) fiir eine n-fach-Punktbe- 
rechnung (einschlieBlich Modulo-q-Rechnungen) auf der elliptischen Kurve in einer mitderen Haufigkeit von 3lql/2, eine 
55 einzelne Multiplikation (einschlieBlich Modulo-k-Rechnungen) von Ikl Bit Ganzzahlen und eine einzelne Addition (ein- 
schlieBlich Modulo-k-Rechnungen) der Ikl Bit Ganzzahlen. 

Das obige Verfahren mit der elliptischen Kurve wird nachfolgend in Anwendung auf die zuvor beschriebenen Ausfuh- 
rungsbeispiele 1 bis 3 beschrieben. 

Das Ergebnis der Addition P3 (PI + P2) auf der elliptischen Kurve wird durch die Gleichungen (51) und (52) unter 
60 Verwendung von x- und y-Koordinaten berechnet. Wie aus Gleichung (59) hervorgeht, die die elliptische Kurve defi- 
nicrt, ist, wenn die x-Koordinate einmal bestimmt ist, der Punkt auf der elliptischen Kurve cindeutig abhangig davon de- 
finiert, ob die y-Koordinate plus oder minus ist. Da die x-Koordinate der Wert des Definitionsfeldes GF(q) ist, muB hier 
darauf hingewiesen werden, daB der Punkt auf der ellipuschen Kurve durch (Iql + 1) Bits reprasentiert werden kann. 

65 Ausfuhrungsbeispiel 4 

Dieses Ausfuhrungsbeispiel entspricht dem ersten Ausfuhrungsbeispiel, das die Uberlagerungssignatur und deren 
Block- Verification durchfuhrt. Nachstehend erfolgt eine Beschreibung eines Ausfuhrungsbeispiels, bei dem das Schnorr- 
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Schema auf die Uberlagerungssignatur und deren Block- Verifikation angewendet wird und welches das Verfahren der el- 
liptischen Kurve einsetzt. 

Die Idee der Verwendung einer zweiten Mehrfachkomponente, die unten beschrieben wird, kann in weitem Umfang 
auf die EIGamal-Signatur-Schemata und die digitalen Signatur-Schemata, die unter deren EinschluB die interaktiven 
Priifungen verwenden, angewendet werden. 5 

Die Systemkonfiguration, auf die dieses Ausfuhrungsbeispiel angewendet wird, ist die gleiche wie die in Fig. 1 A ge- 
zeigte. Deren Beschreibung soil hier daher nicht wiederholt werden. 

(4- A) Anfangliche Informationseinstellverarbeitung 

Nachfolgend wird unter Bezugnahme auf Fig. 14 die anfangliche Informationseinstellverarbeitung beschrieben, die 
ausgefuhrt wird, wenn die Zentrale 100 das System startet. Diese Verarbeitung ist dazu gedacht, einen Wert {q, a, b, P, k}, 
der fur das System einzigartig ist, zu veroffentlichen. 

Schritt SI: Die Zentrale 100 erzeugt die Primzahl q mittels des Primzahlgenerators 110 und a, b e GF(q) mittels eines 
Parametergenerators 120. 

Schritt S2: Die Zentrale 100 erzeugt einen Punkt P e E^GFtq)) auf der elliptischen Kurve mittels eines Basispunkt- 
generators 130, und den Grad oder die Ordnung des Basispunkts mittels eines Ordnungsrechners 140. Die elliptische 
Kurve E atb (GF(q)) entspricht einem Wert der Funktion G^q), auf die fruher in Verbindung mit den Prinzipien der vor- 
liegenden Erfindung bezug genommen wurde, und der Punkt P entspricht dem dabei erwahnten p. 

Schritt S3: Die offentliche Information {g, a, b, P, k} wird an die Unterzeichner (Unterzeichnervorrichtungen 30 b . . ., 
30l) und an den Verifizierer 800 uber die sicheren Kommunikationskanale 400 gesandt und in den Speichern 33 bzw. 88 
gespeichert. 

Der Ordnungs- oder Gradrechner 140 kann leicht beispielsweise unter Verwendung des Schoof-Algorithmus zur Be- 
rechnung der Ordnung oder des Grades der elliptischen Kurve E atb (GF(q)) (der Anzahl von Punkten auf der Kurve) im- 
plementiert werden, (siehe beispielsweise R. Schoof, "Elliptic Curves Over Finite Fields and the Computation of Square 
Roots Mod p", Math. Com., 44, Seiten 483-494, 1985). 

(4-B) Verarbeitung beim Unterzeichner i fur dessen Einschreiben in dem System 

Unter Bezugnahme auf Fig. 15 wird nun die Verarbeitung beschrieben, die bei einem Unterzeichner i durchgefuhrt 30 
wird, wenn er sich in dem System einschreibt. 

Schritt S4: Der Unterzeichner i erzeugt die Zufallszahl ^ mittels des Zufallsgenerators 31 und gibt sie sowie die of- 
fentliche Information {q, a, b, P} in einen n-fach-Punktrechner 32 ein, in welchem die offentliche Information I* mit der 
zuvor erwahnten Funktion G 2 gemaB nachstehender Gleichung (59) berechnet wird 

35 

I i = G 2 (s i ,P) = s i PuberE a , b (GF(q)) (59). 

Schritt S5: Der Unterzeichner i sendet die Identifikationsinformation IDi , die offentliche Information \ und die Ein- 
weg-Funktionen fi und hj uber den sicheren Kommunikationskanal 400 an die Zentrale 100, damit diese als offentliche 
Information (ID}, Ij, fj, hi) registriert werden. Der Unterzeichner i behalt die Zufallszahl Si als geheime Information in 40 
dem Speicher 33. 

In der folgenden Beschreibung wird die unterzeichnete Version des Dokuments m\, die von dem Unterzeichner i ge- 
liefert wird, durch {ID'i, X\, y\] identifiziert. Die Interaktionsfolge der Nachricht ist die gleiche wie die im Fall von Fig. 
4. Bei Empfang einer Nachricht {ID'n, X'^i, mVi, Vi-i} von dem Unterzeichner (i-1), fuhrt der Unterzeichner i die Si- 
gnaturerzeugungsverarbeitung durch, die nachstehend beschrieben wird. Die Konfiguration der Unterzeichnervorrich- 45 
tung 3fy des Unterzeichners i ist in Fig. 16 dargestellt. Es erfolgt nun eine Beschreibung des Falles, wo der Unterzeichner 
(i-1) die zu unterzeichnende Nachricht sendet und der Unterzeichner i seine Signatur an der Nachricht anbringt und die 
unterzeichnete Nachricht an den nachsten Unterzeichner (i+1) sendet. Im Fall der uberlagerten Signatur durch L Unter- 
zeichner braucht lediglich i schrittweise urn 1 von 1 bis L erhoht zu werden und die folgende Prozedur wiederholt zu wer- 
den. In diesem Fall wird der Unterzeichner (L+l) als der Verifizierer angesehen; ID'o = leere Menge, X' 0 = leere Menge 50 
und yo = O. 

(4-C) Verarbeitung beim Unterzeichner i zur Signaturerzeugung 

Schritt S6: Der Unterzeichner i erzeugt die Zufallszahl n mittels des Zufallsgenerators 310 und gibt sie in einen n-fach- 55 
Punktrechner 320 ein, der die Funktion 0 berechnet, und zwar zusammen mit der offentlichen Information {q, a, b, P}, 
die aus dem Speicher 33 ausgeiesen wird, wobei X[ durch die nachstehende Gleichung (60) berechnet wird: 

X i = 0(r i ,P) = r i PuberE a , b (GF(q)) (60). 

60 

Schritt S7: Der Unterzeichner i verwendet den fj-Funktionsrcchner 330 und den hi-Funktionsrechncr 340 zur Berech- 
nung von ei bzw. d^ 

e i = fi(X' i ,m' i ) (61) 

65 

d i = h i (X' i ,m' i ) (62) 
wobei 
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X'i = (XV„Xi) (63) 
m'i = (mVi, mO (64). 

5 

Schritt S8: Der Unterzeichner i gibt ei, di und ri in den Modulo-Multiplizierer 350 und dann in den Modulo- Addierer 
360 zusammen mit der offentlichcn Information k und der geheimen Information 54 ein, wobei die Signatur mit der Si- 
gnaturfunktion Sgi berechnet wird durch 

10 yi = Sgi(ei, d u Si, yu) = (yn + d^ + eiSi) mod k (65). 

Schritt S9: Der Unterzeichner i setztlD'i = (ID'i_i, D>,), und sendet dieNachricht {ID'i, X\, m'i, yi} an den nachsten Un- 
terzeichner (i+1). 

15 (4-D) Verarbeitung durch den Verifizierer zur Signaturverifikation 

Fig. 17 zeigt den funktionalen Aufbau der Verifizierervorrichtung 800. Wenn der Verifizierer die Nachricht {ID' L , X' L , 
nit, yij vom Unterzeichner L erhalt, verifiziert er die Gultigkeit der einzelnen Signaturen mittels der nachstehend be- 
schriebenen Verarbeitung. 

20 Schritt S10: Die ersten i Komponenten der Information X'l werden zur Bildung von X\ verwendet, und die ersten i 
Komponenten der Information m^ werden zur Bildung von m\ verwendet. Die Informationen X\ und m'i, die auf diese 
Weise erhalten werden, werden in den fi-Funktionsrechner 810 und den hi-Funktionsrechner 820 eingegeben, wo die 
Komponenten ej bzw. di (1 < i < L) berechnet werden durch 

25 e i = f i (X , i,m , i ) 

d{ = hi(X'i, m'i). 

Schritt Sll: Die Information Ii wird von der IDj-Komponente in der Infonnation H>'l abgeleitet, und die Information 
30 Xi wird ebenfalls von der Information X' L abgeleitet. Diese Informationen Ij und Xi werden zusammen mit den oben er- 
wahnten Komponenten ej und di und der aus dem Speicher 88 ausgelesenen offentlichen Information {q, a, b, P} in einen 
n-fach-Rechner 830 eingegeben, der die Funktion V berechnet, und mit dem Z' berechnet wird durch 

Z' = V((Xj*di), ft*Ci) I i = 1, . . ., L) = (d^i + . . . + d L X L + dU + . . . e L I L ) iiber E a , b (GF(q)) (66) 

35 

wobei 

e i = f i (X 1 ,...,Xi,{m 1 ,...,mi}) (67) 

40 d i = h i (X 1 ,...,Xi,{m 1 ,...,m i }) (68) 
(1 < i < L) 

Schritt SI 2: Die Information yL und die offentliche Information {q, a, b, P) werden in den n-fach-Punktrechner 840 
eingegeben, der eine Funktion V (yL*P) berechnet und damil W gemaB folgender Gleichung errechnet: 

45 

W = r(y L ,P) = y L PuberE a , b (GF(q)) (69). 

Schritt SI 3: Z' und W werden in den Komparator 850 eingegeben, wo sie verglichen werden, um sicherzugehen, daB 
W = Z\ 

50 Wenn beidc ubcrcinstimmen, wird davon ausgegangen, daB die Dokumente (mi, . . in J von den L autorisierten Un- 
terzeichnem i jeweils ordnungsgemaB unterzeichnet wurden. 

Ausfuhrungsbeispiel 5 

55 Dieses Ausfuhrungsbeispiel entspricht dem zweiten Ausfuhrungsbeispiel, welches die Mehrfachsignatur und deren 
Block- Verifikation durchfiihrt. Nachstehend erfolgt die Beschreibung eines Ausfiihrungsbeispiels, bei dem das Schnorr- 
Schema auf die Mehrfachsignatur und deren Block- Verifikation angewendet wird, die das Verfahren der ellipdschen 
Kurve einsetzen. Auch bei diesem Ausfuhrungsbeispiel kann die Idee der \ferwendung der zweiten Mehrfachkompo- 
nente in weitem Umfang auf die EIGammal-Signatur-Schemata und die digitalen Signatur-Schemata, die die interakd- 

60 ven Priifungen unter EinschluB derselben verwenden, angewendet werden. 

Die Systcmkon figuration, auf die dieses Ausfuhrungsbeispiel angewendet wird, ist dieselbe wic die in Fig. 1 A ge- 
zeigte, und der Aufbau der Zentrale 100 ist der gleiche wie der in Fig. 14 gezeigte. 

(5-A) Anfangliche Informationseinstellverarbeitung 

65 

Es erfolgt nachstehend unter Bezugnahme auf Fig. 14 cine Beschreibung der anfanglichen In formadonseinstell verar- 
beitung in dem Moment, wenn die Zentrale 100 das System startet. 
Schritt SI: Die Zentrale 100 erzeugt die Primzahl q mittels des Primzahlgenerators 110 und a, b, GF(q) mittels des Pa- 
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rametergenerators 120. 

Schritt S2: Die Zcntrale 100 erzcugt den Punkt P e Ea, b (GF(q)) auf der elliptischen Kurve mittels des Basispunktgc- 
nerators 130, der eine Funktion G\(q) berechnet, und die Ordnung k des Basispunkts P mittels des Ordnungsrechners 
140. Der Punkt P entspricht dem friiher erwahnten Parameter p. 

Schritt S3: Die dffentliche Information {q, a, b, P, k} wird an die Unterzeichnervorrichtungen 30 b . . 30l und die Ve- 5 
rifizierervorrichtung 800 iiber die sicheren Kommunikationskanale 400 gesendet und in deren Speichern 33 bzw. 88 ge- 
speichert. 

Wie schon friiher crwahnt, kann der Ordnungsrechner 140 leicht unter Verwendung des Schoof-Algorithmus implc- 
mentiert werden, der die Ordnung der elliptischen Kurve E^b (GF(q)) (d. h. die Anzahl von Punkten auf der Kurve) be- 
rechnet. 10 

(5-B) Verarbeitung beim Unterzeichner i, wenn dieser sich in das System einschreibt 

Als nachstes erfolgt unter Bezugnahme auf Fig. 18 eine Beschreibung der Verarbeitung, die beim Unterzeichner i aus- 
gefuhrt wird, wenn er sich in das System einschreibt. 15 

Schritt S4: Der Unterzeichner i erzeugt die Zufallszahl Si mittels des Zufallsgenerators 310 und gibt sie sowie die of- 
fentliche Information {q, a, b, P} in den n-fach-Punktrechner 320 ein, der eine Funktion G 2 (Si, P) berechnet und in wel- 
chem die offentliche Information I* auf folgendc Weise errechnet wird 

Ii = G 2 (s i ,P) = s i PuberE a , b (GF(q)) (70). 20 

Schritt S5: Der Unterzeichner i sendet die Identifikationsinformation ID*, die offentliche Information \ und die Ein- 
weg-Funktionen f, und hi uber den sicheren Kommunikationskanal 400 an die Zentrale 100, urn sie dort als offentliche 
Information {EDj, Ii, fi, hi) registrieren zu lassen. Jeder Unterzeichner behalt die jeweilige Zufallszahl sj als geheime In- 
formation. 25 

In der nachfolgenden Beschreibung wird die unterzeichnete Version des Dokuments mi, die von dem Unterzeichner i 
geliefert wird, durch {1'i, X'j, m iT y,} identifiziert. Die Interaktionsfolge der Nachricht ist die gleiche wie im Fall von Fig. 
7. Bei Empfang einer Nachricht [TD\_ h X'i_i, rn, vm} von dem Unterzeichner (i-1) fuhrt der Unterzeichner i die nach- 
stehend beschriebene Signaturerzeugungs verarbeitung durch. Die Konfiguration des Unterzeichners i (der Untcrzeich- 
nervorrichtung 30J ist in Fig. 18 gezeigt. Es erfolgt nun eine Beschreibung des Falles, wo der Unterzeichner (i-1) die zu 30 
unterzeichnende Nachricht sendet und der Unterzeichner i seine Signatur an der Nachricht anbringt und die unterzeich- 
nete Nachricht an den nachsten Unterzeichner (i+1) sendet. Wenn L Unterzeichner eine Mehrfachsignatur erzeugen, 
braucht lediglich i schrittweise um eins von 1 bis L erhoht zu werden und die folgende Prozedur wiederholt zu werden. In 
diesem Fall wird der Unterzeichner (i+1) als der Verifizierer betrachtct; ID * 0 = leere Menge, X' 0 = leere Menge und y 0 = 
O. 35 

(5-C) Verarbeitung beim Unterzeichner i zur Signaturerzeugung 

Schritt S6: Der Unterzeichner i erzeugt die Zufallszahl r\ mittels des Zufallsgenerators 310 und gibt sie in den n-fach- 
Punktrechner 320 ein, der die Funktion <D berechnet, und zwar zusammen mit der offentlichen Information [q, a, b, P} , 40 
die aus dem Speicher 33 ausgelesen wird, wodurch in nachstehender Weise X{ berechnet wird 

Xi^^ruPJ^riPuberEa.btGRq)) (71). 

Schritt S7: Die Unterzeichner i berechnet c\ und d\ unter Verwendung des fi-Funktionsrechners 330 bzw. des hj-Funk- 45 
tionsrechners 340 durch 

ei = fi(X'i,m) (72) 

d i = h i (X , i,m) (73) 50 
wobei X'i=(XUXi). 

Schritt S8: Der Unterzeichner i gibt e*, di, ri und yi_i in den Modulo-Multiplizierer 350 und dann in den Modulo- Ad- 
dierer 360 zusammen mit der offentlichen Information k und der geheimen Information Si ein, wodurch die Signatur mit 
der Signaturfunktion Sgi durch Gleichung (74) erzeugt wird: 55 

yi = Sgife, di, Si, ri, yi_0 = (yn + d^ + qsO mod k (74). 

Schritt S9: Der Unterzeichner i setzt ID'i = (JD\-u IDi), und sendet die Nachricht (ID'i, X'i, m, yi} an den nachsten Un- 
terzeichner (i+1). 60 

(5-D) Verarbeitung beim Verifizierer zur Signaturverifikation 

Fig. 19 zeigt den funktionalen Aufbau der Verifizierervorrichtung 800. Wen der Verifizierer die Nachricht {ID' L , X' L , 
m, y L } von dem Unterzeichner L empfangt, verifiziert er die Gultigkeit der einzelnen Signaturen mittels der nachfolgend 65 
bcschriebcnen Verarbeitung. 

Schritt S 10: Die ersten i Komponenten der Information X * L werden zur Bildung von X', verwendet, das zusammen mit 
der Nachricht m in den f r Funktionsrechner 810 und den hi-Funktionsrechner 820 eingegeben wird, worin die Kompo- 
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nenten ei bzw. d t (1 < i < L) berechnet werden durch 
e t = fi(X'i, m) 
5 dj = hi(X'i, m). 

Schritt SI 1: Die Information Ij wird von der IDi-Komponente in der Information ID'l abgeleitet, und auBcrdcm wird 
die Information X\ von der Information X'l abgeleitet. Diese Informationen Ij und Xj werden zusammen mit den oben er- 
wahnten Komponenten e^ und di sowie der offentlichen Information {q, a, b, P, k}, die aus dem Speicher 88 ausgelesen 
to wird, in den n-fach-Rechner 830 eingegeben, der die Funktion V berechnet, und von dem Z' errechnet wird durch 

Z' = V((Xi*di), Qi*ei) I i = 1, . . L) = (di Xi + . . . + d^L + c x U + . . . + eJO iiber Ea, b (GF(q)) (75) 

wobei 

15 

e i = f i (X 1 ,...,X i ,m) (76) 

di^hiCXx,..., X b m) (77) 
(1 < i < L) 

20 

Schritt SI 2: Die Information y L und die offentliche Information {q, a, b, P, k) werden in den n-fach-Punktrechner 840 
eingegeben, der die Funktion T(yL*P) berechnet und dadurch W wie folgt errechnet: 

W = T(y L , *P) = y, P uber Ea, b (GF(q)) (78). 

25 

Schritt SI 3: Z' und W werden in den Komparator 850 eingegeben, wo sie miteinander verglichen werden, um sicher- 
zugehen, daB W = Z\ 

Wcnn beide ubereinstimmen, wird davon ausgegangcn, daB das Dokument in von den L autorisierten Unterzeichnern 
ordnungsgemaB unterzeichnet wurde. 
30 Jede Vorrichtung kann so ausgebildet werden, daB sie ihre Funktionen durch Lesen, Ubersetzen und Ausfuhren von 
Programmen unter Verwendung eines Computers durchfuhrt. Bei jeder Unterzeichnervorrichtung kann ID', = (ID'u, IDJ 
ersetzt werden durch ID'i = (TD'i_i. Ii). Dies erfordert die Speicherung der offentlichen Information \ in Speichermitteln 
und entlastet damit die Verifizierervorrichtung, die dann nicht mehr die Information \ in der Idendfikationsinformation 
EDi lokalisiercn muB. 

35 

Ausfuhrungsbeispiel 6 

Dieses Ausfuhrungsbeispiel entspricht dem dritten Ausfuhrungsbeispiel, bei dem mehrere Unterzeichner einzeln ihre 
Signatur an einem jeweiligen Dokument anbringen und die Signaturen en-bloc verifiziert werden. Dieses Ausfuhrungs- 
40 beispiel wird ebenfalls in Verbindung mit dem Fall der Anwendung des Schnorr-Schemas und des Einsatzes des Verfah- 
rens der ellipuschen Kurve beschrieben. Auch bei diesem Ausfuhrungsbeispiel kann die Idee der Verwendung der zwei- 
ten Mehrfachkomponente in weitem Umfang auf die EIGamal-Signatur-Schemata und die digitalen Signatur-Schemata 
angewendet werden, die die interaktiven Priifungen einsetzen, welche dieselben enthalten. 

Die Systemkonfiguration, auf die dieses Ausfuhrungsbeispiel angewendet wird, ist die gleiche wie die in Fig. IB ge- 
45 zeigte, und die Konfiguration der Zentrale 100 ist die gleiche wie die in Fig. 14 gezeigte. 

Bei der folgenden Beschreibung wird die unterzeichnete Nachricht durch [U> lf X lt m\ y y\] reprasentiert, und zwar unter 
der Annahme, daB der Unterzeichner i das Dokument m\ unterzeichnet. 

Die Interaktionsfolge der Nachricht ist die gleiche wie die in Fig. 11 gezeigte. Fig. 20 zeigt in Blockform die Unter- 
zeichnervorrichtung 30i, 

50 

(6- A) Verarbeitung beim Unterzeichner i zur Signaturerzeugung 

Schritt S14: Der Unterzeichner i erzeugt die Zufallszahl rj mittels des Zufallsgenerators 310 und gibt sie zusammen 
mit der offentlichen Information {q, a, b, P, k), die aus dem Speicher 33 ausgelesen wird, in den n-fach-Punktrechner 320 
55 ein, der die Funktion O berechnet, und in dem Xi berechnet wird durch 

X i = <D(r i ,P) = r i PuberE^ b (GF(q)) (79). 

Schritt SI 5: Der Unterzeichner i berechnet ej und dj unter Verwendung des fi-Funktionsrechners 330 und des hj-Funk- 
60 tionsrechners 340 mittels 

e^fiPC^m) (80) 

d^hiP^m) (81). 

65 

Schritt SI 6: Der Unterzeichner i gibL c v d[ und r, in den Modulo-Multipli/.icrcr 350 und dann den Modulo- Addicrer 
360 zusammen mit der offendichen Information k und der geheimen Information Sj ein, wodurch die Signatur mit der Si- 
gnaturfunktion Sg» erzeugt wird durch 
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yi = Sgifa, di, Sj, r„ k) = (din + CiSj) mod k (82). 
Schritt S17: Der Unterzeichner i sendet die Nachricht {E)j, Xi, m, y\] an den Verifizierer 800. 

5 

(6-B) Verarbeitung beim Verifizierer zur Signaturverifikation 

Fig. 21 zeigt in Blockform die Verifiziercrvorrichtung 800. Wenn der Verifizierer L Nachrichten {Ii, Xi, mi, y;} von den 
L Unterzeichnern empfangt verifiziert er die Giiltigkeit der einzelnen Signaturen durch die nachstehende Verarbeitung. 

Schritt SI 8: Der Verifizierer 800 gibt die Information Xj und die Nachricht in in den fi-Funktionsrechner 810 und den 10 
hi-Funktionsrechner 820 ein, worin die Komponenten c\ bzw. di (1 < i < L) errechnet werden durch 



Ci = fi(Xi, m) 
di = hi(X L , mj. 



15 



Schritt SI 9: Der Verifizierer 800 leitet die Information Ij von der IDi-Komponente und die Information Xj von der In- 
formation X*l ab und gibt sie zusammen mit den oben erwahnten Komponenten ej und dj sowie der offentlichen Infor- 
mation (q, a, b, P, k}, die aus dem Speicher 88 ausgelesen wird, in den n-fach-Rechner 830 ein, der die Funktion V be- 
rechnet und in dem X errechnet wird durch 20 



Z= V((Xi*di), (I^eO I i = 1 L) = (d^i + . . . + d L X L + + . . . + eJO liber E^ b (GF(q)) (83) 

wobei 

25 

e i = f i (X l ,...,X i ,{m l ,...,m i }) (84) 



d i = h i (X 1 ,...,X i ,{m 1 ,...,m i }) (85) 
(1 < i < L) 

30 

Schritt S20: Der Verifizierer 800 gibt die L Informationen yi und die offentliche Information k in den Modulo- Addierer 
840 ein, in welchem ein akkumulierter Wert Y berechnet wird durch 

L 

Y=£ yi modk (86^ 35 

i=1 



und gibt diesen in den n-fach-Punktrechner 845 ein, der die Funktion V (Y*P) und so weiter berechnet und dadurch W in 
folgender Weise errechnet: 

40 

W = T(Y*P) = YP uber Ea, b (GF(q)) (87). 

Schritt S21: Z' und W werden in den Komparator 850 eingegeben, wo sie miteinander verglichen werden urn sicher- 
zustellen, daB W = Z\ 

Wenn beide miteinander ubereinstimmcn, wird davon ausgegangen, daB die L Dokumentc m, jeweils ordnungsgcmaB 45 
von den L autorisierten Unterzeichnern i unterzeichnet wurden. 
Unter Berucksichngung der Art der Erzeugung des akkumulierten Werts Y gilt 

Y P m (yL-iP) + (d L (r L P)} + {e L (s L P)}. 5 y L P + d L X L + e L I L = . . . . (dft + . . . + d L X L + eA + . . . + eJ L ) uber E^ b 
(GF(q)) (88). so 

Wenn also der obige Vergleichstest durch den Komparator 850 bestanden wird, akzeptiert der Verifizierer 800 die Do- 
kumente in (i = 1, . . ., L) als durch L autorisierte Unterzeichner jeweils ordnungsgem^B unterzeichnet. 



Bewertung der Ausfuhrungsbeispiele 55 

Es erfolgt nun eine Bewertung der vorliegenden Erfindung im Vergleich rnit dem RSA-Schema und dem Schnorr- 
Schema hinsichtlich der Rechenkomplexitat grundlegender Operationen, die in den Unterzeichnungs- und Verifikations- 
Prozeduren enthalten sind, sowie der Redundanz verwendeter Nachrichten und in anderer Hinsicht. Das zu bewertende 
System ist eines, welches die Mehrfachsignatur und deren Verifikation ausfiihrt. Dementsprechend werden das zweite 60 
und das funftc Ausfuhrungsbeispiel der vorliegenden Erfindung bewertet. 

Die Tabelle der Fig. 22 zeigt im Vergleich grundlegende Berechnungen fur die Mehrfachsignatur und ihre Verifikation 
in dem RSA-Schema, dem Schnorr-Schema sowie dem zweiten und dem fiinften Ausfuhrungsbeispiel der Erfindung. 
Die Tabelle von Fig. 23 zeigt die Anzahl von in den Unterzeichnungs- und Verifikations-Prozeduren der jeweiligen Sche- 
mata enthaltenen Berechnungen, wenn die Gleichungen in Fig. 22 verwendet werden. Fig. 23 zeigt auBerdem die Red- 65 
undanz von Nachrichten, die Anzahl von Kommunikationen, die zur Vcrifizicrung aller Signaturen erforderlich sind und 
die Anzahl von Zirkulationsdurchlaufen jeder Nachricht. 
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(1) Rechenumfang beim Unterzeichner 

Bei den Operationen zum Zwecke der Unterzeichnung, die in der Tabelle von Fig. 22 gezeigt sind, sind die Berech- 
nungen der Einweg-Funktionen f, f[ und hi schneller als die Multiplikation und die n-fach-Punktrechnung. Daher wird der 
5 Rechenaufwand jeder Unterzeichnervorrichtung Im Hinblick auf die Anzahl von Modulo-N-Multiplikationen (ein- 
schlieBlich Modulo-N- oder -p-Rechnungen) und die Anzahl von Berechnungen verglichen, die fur den n-fach-Punkt auf 
der elliptischen Kurve durchgcfuhrt werden. 

Gewohnlich wird INI =1024 und Iql =160 empfohlen. In diesem Fall ist, da die fiihrenden Terme jeweils der ersten Be- 
rechnung entsprechen, die Verarbeitungsgeschwindigkeit bei dem zweiten und dem funften Ausfiihrungsbeispiel mehr 
io als funfmal so groB wie die im Fall unter Verwendung des RSA-Verschlusselungssystems, wie in Fig. 23 gezeigt. Es 
wurde berichtet, daB die Berechnung des n-fach-Punkts auf der elliptischen Kurve, wie bei dem funften Ausfuhrungsbei- 
spiel, etwa zehnmal so schnell wie die Unterzeichnungsprozedur unter Verwendung des RSA-Verschlusselungssystems 
ist (siehe beispielsweise http://www/cerdcom.com/html/eccqa.html). 

15 (2) Rechenumfang beim Verifizierer 

Bei den Berechnungen zur Signaturverifikation, die in Fig. 22 gezeigt sind, sind die Berechnungen der Einweg-Funk- 
tionen f, fi und hi schneller als die Multiplikation und die Berechnung des n-fach-Punkts auf der elliptischen Kurve. Da- 
her wird der Verarbeitungsumfang beim Verifizierer im Hinblick auf die Anzahl von Potenzierungen (einschlieBlich Mo- 
20 dulo-N- oder -p-Berechnungen) und die Anzahl von Berechnungen fur den n-fach-Punkt auf der elliptischen Kurve ver- 
glichen. Wie in Fig. 23 gezeigt, ist die Rechenbelastung fur die Signaturverifikation durch die vorliegende Erfindung die 
gleiche wie im Fall der Verwendung des RSA-Verschlusselungssystems, aber im wesentlichen halb so groB wie diejeni- 
gen im Fall der Verwendung des Schnorr-Schemas. 

25 (3) Nachrichtenredundanz 

Bei jedem Multi-Signaturschema wird die ID-Information der Nachricht fur jede einzelne Signatur (die ID ' L -Kompo- 
nenten) im Hinblick darauf hinzugefiigt, daB der Unterzeichner deutlich wird. Im folgenden wird die Redundanz der 
Nachricht {ID', X, m, y } unter Verwendung der Anzahl von Bits jeweils der X- und der y-Komponente bewertet. Die Si- 
30 gnaturkomponente (y-Komponente) bei Verwendung des RSA-Verschlusselungssystems ist reprasentiert durch D L . . . 
Di (f(m)). Die Ergebnisse sind in Fig. 23 gezeigt. 

Bei dem Verfahren des zweiten und des funften Ausfuhrungsbeispiels der vorliegenden Erfindung ergibt sich LxIXI + 
lyl Bits. Die Anwendung des funften Ausfuhrungsbeispiels liefert Ipl = Iql = lei = 160 und IXI = Iql + 1; d. h. 161L + 
160 Bits. Dies zeigt an, daB fur den Fall von 2 < L < 6 das Verfahren des funften Ausfuhrungsbeispiels vorteilhaft ist. 

35 

(4) Anzahl von Kommunikationen und Anzahl von Zirkulationsdurchlaufen 

Wie zuvor in Verbindung mit dem Hintergrund der vorliegenden Erfindung erlautert, beinhalten die Multi-Signatur- 
prozedur und die Verifikationsprozedur mit dem Schnorr-Schema zwei Zirkulationsrunden oder Umlaufe der Nachricht 

40 zu den Unterzeichnern. Daraus ergibt sich, daB die erforderliche Anzahl von Kommunikationen ebenfalls doppelt so 
groB wie die bei den anderen Schemata ist. 

Was die Basis der Sicherheit des Signaturschemas und des Block- Verifikationsschemas gemaB der vorliegenden Erfin- 
dung angeht, schlieBt die Schwierigkeit des diskreten Logarithmusproblems durch das Modulo-p jede Erfolgsmoglich- 
keit zur Berechnung der geheimen Information sj aus der ofTendichen Information {p, q, g, I,} aus. DaB jede Unterzeich- 

45 nervorrichtung nicht die Mehrfachsignatur einschlieBlich der Signatur irgendeiner anderen Unterzeichnervorrichtung 
falschen kann, kann garantiert werden durch Kombination der Verfahren der vorliegenden Erfindung mit der "Exakte Si- 
cherheit" -Eigenschaft unter dem sogenannten "Random-Oracle- ModelT, das Ergebnis der theoretischen Studien der Re- 
chenkomplexitat ist. 

Hinsichtlich der "Exakte Sicherheit" -Eigenschaft wird beispielsweise verwiesen auf die Fundstelle M. Bellare and P. 

50 Rogaway, "Random Oracles are Practical: A Paradigm for Designing Efficient Protocols", Proc. of the First ACM Con- 
ference on Computer and Communications Security, Seiten 62-73, und K. Ohta and T. Okamoto, "The Exact Security of 
Multi-Signature Schemes", Technical Report of MCE ISEC97-27. 

Wie oben beschrieben, kann gemaB der vorliegenden Erfindung die Signaturerzeugungsverarbeitung mehr als funfmal 
so schnell wie im Fall der Verwendung des RSA-Schemas ausgefuhrt werden. Die Signaturverifikationsverarbeitung 

55 stimmt in der Geschwindigkeit mit dem Fall der Verwendung des RS A-Schemas uberein, kann jedoch doppelt so schnell 
gemacht werden wie im Fall der wiederholten Verwendung des Schnorr-Schemas. Wenn L gleich 6 oder kleiner ist, ist 
die Redundanz der Nachricht bei der vorliegenden Erfindung die gleiche wie im Fall der wiederholten Verwendung des 
Schnorr-Schemas und ist vorteilhafter als im Fall der Verwendung des RSA-Schemas. 

60 Palentanspruche 

1. Verfahren, mit dem ein Verifizierer en-bloc digitale Signaturen verifiziert, die von einer Reihe von Unterzeich- 
nern i, i = 1, 2, . . . L, wobei L eine ganze Zahl gleich oder groBer als zwei ist, an einem in elektronischer Form vor- 
liegenden Dokument m'i angebracht wurden, wobei Information enthaltend einen Parameter q fur jeden derUnter- 
65 zeichner i zur Erzeugung einer Signaturfunktion Sgi und einen Parameter p = Gi(q), der mit einer Funktion Gi unter 

Verwendung des Parameters q erhalten wird, vorab veroiTentlicht wird, urnfassend die Schritte: 
- jeder Unterzeichner i 

(a) erzeugt eine erste Zufallszahl Sj als geheime Information, erzeugt dann Information 1± = G2(sj, (3) mit 
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einer Funktion G2 unter Verwendung des offentlichen Parameters P und der ersten Zufallszahl Si und ver- 
offentlicht die Information \\ sowie zwei Einweg-Funktionen fi und hj und Identifikationsinformation IDi, 
die von dem Unterzeichner i verwendet wird, als seine offendiche Information {IDj, Ii, % hi); 

(b) erzeugt eine zweite Zufallszahl r*, erzeugt dann Information X} = Ofa, p), indem der Parameter p und 
die zweite Zufallszahl r\ in eine Funktion $ eingesetzt werden, und setzt Information, die die Information 
Xj enthalt, aufXV, 

(c) erzeugt 

e i = f i (X , i , m'i) 
di = hi(X*i, m'j) 



10 



mit den Einweg-Funktionen 5 und hi unter Verwendung von Dokumentinformation m'i, die ein zu unter- 
zeichnendes Dokument mj enthalt, sowie der Information X'i; und 

(d) erzeugt fur Information enthaltend di, sj und r t eine Signatur 15 
yi = Sgi(ei, d u Si,r L , yi_0 

mit der Signaturfunktion Sgj, die unter Verwendung des Parameters q erzeugt wird, und sendet Informa- 
tion {ED'i, X'i, m'i, yi}, die die Identifikationsinformation IDj als Identifikationsinformation ID'i enthalt, an 20 
den nachsten Unterzeichner (i+1) in der Reihe von Unterzeichnern i = 1 bis L, wobei der letzte Unter- 
zeichner L die Information {ID'l, X' l , m' L , y L } an den Verifizierer als letzte Bestimmung sendet; und 

- der Verifizierer 

(e) berechnet, aus der offentlichen Information {ID,, Ij, fj, h;}, Information I{ entsprechend der Identifika- 
tionsinformation IDi, die in der Information ID'i m der empfangenen Information {ID' L , X' L , m' L , y L ] ent- 25 
halten ist, und die Einweg-Funktionen fi und hi und berechnet ej und di unter Verwendung der Einweg- 
Funktionen fi und hi sowie X'i und m'-, in den empfangenen Informationen X' L und m' L ; 

(0 berechnet die Information Xj, die in der Information X'i enthalten ist, und berechnet 

Z' = V((X i *d i ),(I i *e i )li = l L) 30 

mit einer Funktion V, enthaltend Berechnungen von (Xi*di) aus di und Xi und (Ii*e0 aus ei und I,, fur i = 1, 
. . . L; und 

(g) berechnet W = T(vl*P) mit einer Funktion T, die eine Berechnung von (vl*P) von yL und p enthalt, 
pruft dann ob W = Z' und entscheidet, falls beide Werte miteinander ubereinstimmen, daB die Signaturen 35 
alle giiltig sind. 

2. Verfahren, bei dem ein Verifizierer en-bloc digitale Signaturen verifiziert, die von Unterzeichnern i, i = 1, 2, . . . 
L, wobei L eine ganze Zahl gleich oder groBer als zwei ist, an einem in elektronischer Form vorliegenden Dokument 
m'i angebracht wurden, wobei Information enthaltend einen Parameter q fur jeden der Unterzeichner i zur Erzeu- 
gung einer Signaturfunktion Sgj und einen Parameter P = Gi(q), der unter Verwendung des Parameters q mit einer 40 
Funktion Gi erhalten wird, vorab veroffentlicht wird, umfassend die Schritte: 

- jeder Unterzeichner i 

(a) erzeugt eine erste Zufallszahl ^ als geheime Information, erzeugt dann Information Ij = G2(si, p) mit 
einer Funktion G2 unter Verwendung des offentlichen Parameters p und der ersten Zufallszahl Sj und ver- 
offentlicht die Information Ij sowie zwei Einweg-Funktionen fj und h; und Identifikationsinformation IDi, 45 
die von dem Unterzeichner i verwendet wird, als seine offentliche Information {IDi, k % n i)i 

(b) erzeugt eine zweite Zufallszahl 15, erzeugt dann Information Xi = Ofo P), indem der Parameter p und 
die zweite Zufallszahl q in eine Funktion O eingesetzt werden, und setzt Information, die die Information 
Xi enthalt, auf X'i; 

(c) erzeugt 50 
ei = fi(X'i, m'i) 

di = hi(X'i, m'i) 

55 

mit den Einweg-Funktionen fj und h\ unter Verwendung von Dokumentinformation, die ein zu unterzeich- 
nendes Dokument in enthalt, sowie der Information X\; und 

(d) erzeugt fur Information enthaltend % dj, sj und q eine Signatur 

y» = Sgifa, di, ^ r^ 60 

mit der Signaturfunktion Sgi, die unter Verwendung des Parameters q erzeugt wird, und sendet die Infor- 
mation {ID'i, X'i, m'i, yi), die die Identifikationsinformation IDi als Identifikationsinformation ID'i enthalt, 
an den Verifizierer als letzte Bestimmung; und 

- der Verifizierer 65 

(e) berechnet aus der offentlichen Information {IDi, Ii> f»> n i) Information l t entsprechend der Identifika- 
tionsinformation IDj, die in der Informadon ID'i * n der empfangenen Information {ED'i, X'i, m'i, yi) ent- 
halten ist, und die Einweg-Funktionen fj und h; und berechnet e 4 und dj unter Verwendung der Einweg- 
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Funktionen fj und hi und der empfangenen Informationen X\ und m^; 

(f) berechnet die Information Xi, die in der Information X\ enthalten ist, und bcrechnet 

Z' = V((X i *d i ),(Ii*e i )li = l,...,L) 

5 

mit einer Funktion V, die Berechnungen von (Xi*dJ aus di und Xj sowie von (Ii*eO aus q und Ij enthalt, 
fiiri = 1, . . ., L; und 

(g) berechnet W = T(Y*p) mit einer Funktion T, die cine Berechnung von (Y*p) unter Verwendung von 
P und eines akkumulierten Wert Y von yi bis y L enthalt, priift dann, ob W = Z' und entscheidet, wenn 

to beide Werte miteinander ubereinstimmen, daB die Signaturen alle gultig sind. 

3. Verfahren nach Anspruch 1, bei dem: 

x;i = (X'i_i,Xi), 

m'i = (m\_i, mj), 
rD'i = (ID'i.i,IDi), 
15 X'o = leere Menge 

m'o = leere Menge 
ID'o = leere Menge 
y 0 = 0; und 

der Unterzeichner i von dem Unterzeichner (i-1) (IDVi, X'^i, rn'j_i Yi-i } empfangt und die Schritte (b) bis (d) aus- 
20 fuhrt, und Information {ID'i, X\, y\] an den Unterzeichner (i+1) sendet, wahrend der letzte Unterzeichner L die 
Schritte (b) bis (d) mit von dem Unterzeichner (i-1) erhaltender Information durchlauft und Information {ID' L , X' L , 
m*L» Yl) erzeugt und an den Verifizierer sendet. 

4. Verfahren nach Anspruch 3, bei dem m'i = m t = m; m 2 = rn 3 . . . = m L = leere Menge; und 

der Unterzeichner i von dem Unterzeichner (i-1) Information {H>'i_i* XVi» m > Yi-i ( empfangt und 
25 die Schritte (b) bis (d) ausfuhrt und Information {ID'}, X\ f m, yi) an den Unterzeichner (i+1) sendet, wahrend der 
letzte Unterzeichner L die Schritte (b) bis (d) mit von dem Unterzeichner (i-1) erhaltener Information ausfuhrt, In- 
formation {ID'l, X' l , m, y L } erzeugt und diese an den Verifizierer sendet. 

5. Verfahren nach Anspruch 2, bei dem X'j =Xi, m'i = m*, und ID'i = und jeder Unterzeichner die Schritte (b) bis 
(d) ausfuhrt und Information {IDi, Xi, mi, Vi) erzeugt und einzcln an den Verifizierer sendet. 

30 6. Verfahren nach Anspruch 3 oder 4, bei dem ID'i = (ED Vi, ersetzt wird durch ID'i = (^Vh 

7. Verfahren nach Anspruch 3 oder 4, bei dem, wenn die Anzahl von Elementen einer Gruppe p ist, ein Element g 
der Gruppe, bei dem eine Gruppenrechnung beginnt, der Parameter P ist und eine ganze Zahl, mit der, wenn das Ele- 
ment g q-mal gruppenberechnet wird, die Berechnung zu g zuriickkehrt, der Parameter q ist, und diese Parameter 
{p, q, g} als offentuche Systeminformation verofTcntlicht werden, 

35 die Berechnung der Information ^ unter Verwendung der Funktion G2 (s,, g) in Schritt (a) durch eine sj-malige 
Gruppenberechnung des Parameters g unter Verwendung des Parameters p durchgefuhrt wird, 
die Berechnung der Information X, unter Verwendung der Funktion <I> im Schritt (b) durch rj-malige Gruppenbe- 
rechnungen des Parameters g unter Verwendung des Parameters p durchgefuhrt wird, 

der Schritt (f) ein Schritt zum Erhalt von Z' durch sequentielle Berechnung von Werten (Xi*dO, erhalten durch di- 
40 malige Multikomponenten-Gruppenberechnungen von Xj, und Werten (I}*ei), erhalten durch ej-malige Muitikom- 
ponenten-Gruppenberechnungen von Ii, fur jeden Unterzeichner i von 1 bis L ist, und 

der Schritt (g) ein Schritt der Berechnung von W mittels y' L -maligen Berechnungen des Parameters g unter Verwen- 
dung der empfangenen Information y^ und der offentlichen Informationen p und q ist. 

8. Verfahren nach Anspruch 7, femer umfassend einen Schritt der Vbraberzeugung von p und q, bei denen es sich 
45 um Primzahlen handelt, fur die die Beziehung gilt 1 = p mod q, sowie des Erzeugens eines Grundelements a von 

(Z/pZ)*, und bei dem die Funktion Gi zur Berechnung des Parameters fi = g durch die folgende Gleichung gegeben 
ist: 

g = Gi(q) = a (p - iyq modp; 

50 

die Funktion G2 (si, g}im Schritt (a> durch die folgende Gleichung gegeben ist: 
Ii = G 2 (si, g) = g s j mod p, 
55 die Funktion <t> in Schritt (b) durch die folgende Gleichung gegeben ist: 

Xi = 0(r i7 g) = g r L mod p, 

die Signaturfunktion Sgj in Schritt (d) gegeben ist durch die folgende Gleichung unter Verwendung von ei, di, r u Si, q 
60 und yi_i: 

Ti = Sgi(ei, d it Si, r i? y^O = (yi_i + dp, + ejSj) mod q, 

die Funktion V im Schritt (f) gegeben ist durch die folgende Gleichung: 

65 

Z' = V((Xj*di), ai*ci) I i = 1 , . . L) = X x Wi • - ■ X L d J L e L mod p; und 
die Funktion F in Schritt (g) gegeben ist durch die folgende Gleichung: 
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W - T(y L *g) = g y L mod p. 

9. Verfahren nach Anspruch 5, bei dem, wenn die Anzahl von Elementen einer Gruppe p ist, ein Element g der 
Gruppe, bei dem eine Gruppenrechnung beginnt, der Parameter p ist und eine ganze Zahl mit der, wenn das Element 5 
g q-mal gruppenberechnet wird, die Berechnung zu g zuruckkehrt, der Parameter q ist, und diese Parameter {p, q, g} 

als offentliche Systemin formation vcroffentlicht werden, 

die Berechnung der Information Ij unter Verwendung der Funktion G2 (sj, g) in Schritt (a) durch eine Sj-maligc 
Gruppenberechnung des Parameters g unter Verwendung des Parameters p durchgefuhrt wird, 

die Berechnung der Information Xi unter Verwendung der Funktion O im Schritt (b) durch ri-malige Gruppenbe- 10 
rechnungen des Parameters g unter Verwendung des Parameters p durchgefuhrt wird, 

der Schritt (f) ein Schritt zum Erhalt von Z' durch sequentielle Berechnung von Werten (Xi*d[) erhalten durch di-ma- 
lige Multikomponenten-Gruppenbercchnungcn von X* und Werten (Ii*ei), erhalten durch ei-malige Multikompo- 
nenten-Gruppenberechnungen von Ii, fiir jeden Unterzeichner i von 1 bis L ist, und 

der Schritt (g) ein Schritt der Berechnung eines akkumulierten Werts Y unter Verwendung von L Informationen y\ 15 
und der Erzeugung, als W, eines Werts (g*Y) ist, der erhalten wird durch Y-maliges Operieren oder Berechnen des 
Parameters g unter Verwendung von Y und den offentlichen Informationen p und q. 

10. Verfahren nach Anspruch 9 ferner umfassend einen Schritt der Voraberzeugung von p und q, bei denen es sich 
urn Primzahlen handelt, fur die die Beziehung gilt 1 = p mod q, sowie des Erzeugens eines Grundelements a von 
(Z/pZ)*, und bei dem die Funktion Gi zur Berechnung des Parameters P = g durch die folgende Gleichung gegeben 20 
ist: 

g = G 1 (q) = <X (p - iyq modp; 

die Funktion G2(si, g) im Schritt (a) durch die folgende Gleichung gegeben ist: 25 
Ii = C3 2 (Si,g) = g 8 imodp, 

die Funktion O in Schritt (b) durch die folgende Gleichung gegeben ist: 

30 

Xi = a>(n, g) = g r i mod p, 

die Signaturfunktion Sg, in Schritt (d) durch die folgende Gleichung unter Verwendung von ei, di, ri, S[, und q gege- 
ben ist: 

35 

* = Sgife, di, Si, rO = (dft + ^sj mod q, 

die Funktion V im Schritt (f) gegeben ist durch die folgende Gleichung: 

Z = V((Xi*di), (Ii*ei) I i = 1, . . ., L) = XxWi • ■ ■ X L d L I L e L mod p; und 40 
im Schritt (g) der akkumulierte Wert Y berechnet wird durch 
L 

Y=2 Yjmodq 45 
i=l 

und die Funktion T in Schritt (g) gegeben ist durch die folgende Gleichung: 

W = T(Y*g) = g^mod p. 50 

11. Verfahren nach Anspruch 3 oder 4, bei dem der Parameter q ein Parameter eines Definitionsfeldes GF(q) einer 
elliptischen Kurve E^b (GF(q)) ist, und, wenn ein Basispunkt einer Qrdnung k auf der elliptischen Kurve durch den 
Parameter P reprasentiert ist und ein Parameter der elliptischen Kurve durch a,be GF(q), diese Parameter {q, a, b, 

P, k} als offentliche Systemin formation veroffentlicht werden, und bei dem 55 
die Berechnung der Information I; unter Verwendung der Funktion G 2 (sj, P) im Schritt (a) durch Sj-malige Grup- 
penberechnungen des Parameters p ausgefuhrt wird, 

die Berechnung der Information Xj unter Verwendung der Funktion O in Schritt (b) durch ri-malige Gruppenberech- 
nungen des Parameters P ausgefuhrt wird, 

der Schritt (0 ein Schritt zum Erhalt von 72 ist durch sequentielles Berechnen von Werten (Xi*dO, erhalten durch dj- 60 
malige Multikomponentcn-Gruppenbcrcchnungen von X,, und Werten (Ii*ej), erhalten durch ej-malige Multikom- 
ponenten-Gruppenberechnungen von \ fur jeden Unterzeichner i von 1 bis L, und 

der Schritt (g) ein Schritt der Berechnung von W durch yL-malige Berechnungen des Parameters P auf der ellipti- 
schen Kurve unter Verwendung der empfangenen Information Vl und der offentlichen Information p ist, 

12. Verfahren nach Anspruch 1 1, bei dem die Funktion Gi zur Berechnung des Parameters P = P gegeben ist durch 65 
folgende Gleichung: 

G 1 (q) = PeE a , b (GF(q)), 
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die Funktion G2(sj, P) in Schritl (a) gegebcn ist durch die folgende Gleichung: 
Ii = G 2 (Si, P) = Si P uber E^ (GF(q)); 

5 

die Funktion O in Schritt (b) gegeben ist durch die folgende Gleichung: 

X i =0(r i ,P) = r i PuberE a , b (GF(q)); 

io die Signaturfunktion Sgi in Schritt (d) gegeben ist durch die folgende Gleichung unter Verwendung von ej, di, ej, sj 
und y^: 

y» = Sgifc, 4 Si, r i? y L _0 = (yi-i + d^ + e L Si) mod k, 
15 die Funktion V im Schritt (f) gegeben ist durch die folgende Gleichung: 

Z = V((X L *di), ai*ei) I i = 1. . . L) = (diXi + . . . + d L X L + eft + . . .+ cJJ uber E^ (GF(q)); und 
die Funktion T im Schritt (g) gegeben ist durch die folgende Gleichung: 

20 

W = r(y L *P) = y L P uber Ea, b (GF(q)). 

13. Verfahren nach Anspruch 5, bei dem der Parameter q ein Parameter eines Definitionsfeldes GF(q) einer ellipti- 
schen Kurve E^ b (GF(q)) ist, und, wenn ein Basispunkt einer Ordnung k auf der elliptischen Kurve reprasentiert ist 

25 durch den Parameter p, ein Parameter der elliptischen Kurve durch a, b e GF(q), diese Parameter {q, a, b, P, k) als 
offentliche Systeminformation veroffentlicht wird, und bei dem 

die Berechnung der Information ^ unter Verwendung der Funktion G2(si, P) in Schritt (a) durchgefuhrt wird durch 
si-malige Gruppenberechnungen des Parameters p, 

die Berechnung der Information X* unter Verwendung der Funktion O in Schritt (b) durchgefuhrt wird durch rj-ma- 
30 lige Gruppenberechnungen des Parameters P, 

Schritt (f) ein Schritt ist zum Erhalt von Z' durch sequentielle Berechnung von Werten (Xi*di), erhalten durch dj-ma- 
lige Multikomponenten-Gruppenberechnungen von X*, und Werten (Ii*e0, erhalten durch ei-malige Multikompo- 
nenten-Gruppenberechnungen von Ii, fur jeden Unterzeichner i von 1 bis L, und 

der Schritt (g) ein Schritt der Berechnung von W durch Y-malige Berechnungen des Parameters P auf der cllipti- 
35 schen Kurve unter Verwendung der empfangenen Information vl und der offentlichen Information p ist. 

14. Verfahren nach Anspruch 13, bei dem die Funktion G t zur Berechnung des Parameters p = P gegeben ist durch 
folgende Gleichung: 

G l (q) = P6E, b (GF(q)), 

40 

die Funktion G2(si, P) in Schritt (a) gegeben ist durch die folgende Gleichung: 
Ii = G 2 (si, P) = Si P uber E*(GF(q»; 
45 die Funktion O in Schritl (b) gegeben ist durch die folgende Gleichung: 

X i = <D(r i ,P) = r i PuberE a , b (GF(q)), 

die Signaturfunktion Sgi in Schritt (d) gegeben ist durch die folgende Gleichung unter Verwendung von ei, di, ri und 

50 sj: 

Yi = SgiCq, di, Si, r^ = (dir L + epd mod k, 

die Funktion V in Schritt (f) gegeben ist durch die folgende Gleichung: 

55 

Z = V((Xi*dO, (Ii*ei) I i = 1, . . L) = (d x X { + . . . + d L X L + ej, + . . . + eJJ uber E^CGRq)), und 

die Funktion T in Schritt (g) gegeben ist durch die folgende Gleichung: 

60 L 

wobeiY=£ yj mod k. 
i=l 

15. Unterzeichnervorrichtung fiir ein System, bei dem jeder einer Reihe von Unterzeichnern i = 1, . . ., L, wobei L 
65 eine ganze Zahl gleich oder groBer als zwei ist, eine digitale Signatur an einem in elektronischer Fonn vorliegenden 

Dokumcnt in'i anbringt und cin Verifiziercr die digitalen Signaturcn cn-bloc verifizicrt, wobci Information cnthal- 
tend einen Parameter q fur jeden der Unterzeichner i zur Erzeugung einer Signaturfunktion Sgj und ein Parameter p 
= Gt(q), der mit einer Funktion Gi unter Verwendung des Parameters q erhalten wird, vorab veroffentlicht werden, 
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umfassend: 

Speichermittel zur Speicherung der offentlichen Parameter p und P des Systems, Tdentifikationsin formation IDj dcs 

jeweiligen Unterzeichners i und einer ersten Zufallszahl Sj als seiner geheimen Information, 

G2-Funktionsmittel zur Erzeugung von Information I| = G2(sj, p) mit einer Funktion G2 unter Verwendung des 6f- 

fentlichen Parameters P und der ersten Zufallszahl Si, wobei die Information Ii als offentliche Information {IDi, Ij, 5 

hi) des Unterzeichners zusammen mit einem Paar von Einweg-Funktionen 5 und hi und Identifikationsinformation 

IDj, die von dem jeweiligen Unterzcichner venvcndet wird, veroffentlicht wind, 

Zufallsgeneratormittel zur Erzeugung einer zweiten Zufallszahl r„ 

<J>-Funktionsmittel zum Einsetzen des Parameters P und der zweiten Zufallszahl rj in eine Funktion <1> zur Erzeu- 
gung von Information Xi = ^>(ri, P), 10 
zwei Einweg-Funktionsmittel zur Erzeugung von 

e i = f i (X* i ,m , i ) 

d i = h i (X' i ,m , i ) 15 

mit den beiden Einweg-Funktionen § und hj unter Verwendung von Dokumentinformation m'i enthaltend ein zu un- 
terzeichnendes Dokument m, und Information X\ enthaltend die Information Xi, 
Signaturfunktionsmittel zur Erzeugung, fur Information enthaltend ej, di, s i? rj und yj_i, einer Signatur 



Yi = Sgi(q, dj, s^vm) 



yi = Sgi(ei, di, Si, rj) 



20 



mit einer Signaturfunktion Sgi, die unter Verwendung des Parameters q erzeugt wird, und 
Mittel zum Senden von Information {ID'i, X'i, m'i, yi}, als Information, welche Identifikationsinformation IDj ent- 
halt, an den nachsten Unterzeichner (i+1) in der Reihe von Unterzeichnern i von 1 bis L, wobei der letzte Unter- 25 
zeichner L die Information {ID'l, X' l , m'L, yt] an den Verifizierer als letzter Bestimmung sendet. 
16. Unterzeichnervorrichtung fur ein System, bei dem jeder von Unterzeichnern i = 1, . . ., L, wobei L eine ganze 
Zahl gleich oder groBer als zwei ist, eine digitate Signatur an einem in elektronischer Form vorliegenden Dokument 
m'i anbringt und ein Verifizierer die digitalen Signaturen en-bloc verifiziert, wobei Information enthaltend einen Pa- 
rameter q fur jeden der Unterzeichner i zur Erzeugung einer Signaturfunktion Sgi und ein Parameter P = Gi(q), der 30 
unter Verwendung des Parameters q mit einer Funktion Gi erhalten wird, im voraus veroffentlicht werden, umfas- 
send: 

Speichermittel zur Speicherung der offentlichen Parameter q und p des Systems, von Identifikationsinformation IDj 
des jeweiligen Unterzeichners i und einer ersten Zufallszahl Si als seiner geheimen Information, 
G2-Funktionsmittel zur Erzeugung von Information Ii = G2(s;, p) mit einer Funktion G2 unter Verwendung des of- 35 
fentlichen Parameters p und der ersten Zufallszahl % wobei die Information 1^ zusammen mit einem Paar von Ein- 
weg-Funktionen fi und hi und Identifikationsinformation IDi, die der jeweilige Unterzeichner i benutzt, als offentli- 
che Information {IDj, I,, f lf h\] des Unterzeichners veroffentlicht wird, 

Zufallsgeneratormittel zur Erzeugung einer zweiten Zufallszahl r lt O-Funktionsmittel zum Einsetzen des Parame- 
ters P und der zweiten Zufallszahl T\ in eine Funktion O zur Erzeugung von Information Xj = ^>(rj, P), .40 
ein Paar von Einweg-Funktionsmitteln zur Erzeugung von 

ei = fi(X'i, m'i) 

di = hiCX 1 !, m'i) 45 

mit dem Paar von Einweg-Funktionen fj und hi unter Verwendung der Dokumentinformation m\ enthaltend ein zu 
unterzeichnendes Dokument irq und Information X'i enthaltend Information Xj, Signaturfunktionsmittel zur Erzeu- 
gung, fur Information enthaltend ei, di, s» und n, einer Signatur 



50 



mit der Signaturfunktion Sgi, die unter Verwendung des Parameters q erzeugt wird, und 

Mittel zum Senden von Information {ID'i, X'i, m'i, yn}, als die Identifikationsinformation IDi enthaltende Informa- 
tion an den Verifizierer. 55 

17. Unterzeichnervorrichtung nach Anspruch 15, bei der 
X\ = (X'i_i, Xj), 

m'i = (m'i.!, m i)> 
ID'i = (IDVi, IDi), 

X' 0 = leere Menge 60 
m'o = lecrc Menge 
ID'cpleere Menge 
y 0 = 0, und 

bei Empfang von {ID'j.i, X'i_i, m'i_i, y^} von dem Unterzeichner (i-1) die Sendemittel Information (ID'i, X\, m'i, 
yi) an den nachsten Unterzeichner (i+1) aussenden. 65 

18. Unterzeichnervorrichtung nach Anspruch 17, bei der rn'i = n\ x = m, m 2 = rn 3 . . . = m = leere Menge, die Unter- 
zeichnervorrichtung des Unterzeichners i Information {ID'n, Xi_ b m'i_i, y^} von dem Unterzeichner (i-1) emp- 
fangt, und die Sendemittel Information {ID'i, X'i, m, y^ an den nachsten Unterzeichner (i+1) aussenden. 
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19. Unterzeichnervorrichtung nach Anspruch 16, bei der X\ = X i} m\ = m l9 und ID'i = \D t und die Sendemittel In- 
fonnation {IDj, Xi, m u yj}, als die Information {ID'i, X'j, m'j yj}, erzeugen und an den Verifizierer aussenden. 

20. Unterzeichnervorrichtung nach Anspruch 17 oder 18, bei der ID'i = ( ID'i-i> ersetzt wird durch ID'i = (H>Vi 
li). 

5 21. Unterzeichnervorrichtung nach Anspruch 17 oder 18, bei der, wenn p die Anzahl von Elementen einer Gruppe 
reprasentiert, ein Element g der Gruppe, bei dem eine Gruppenberechnung beginnt, durch den Parameter p repra- 
sentiert wird und eine ganze Zahl bei der, wenn das Element g q-mal gruppenbcrechnet wird, die Berechnung zu g 
zuriickkehrt, durch den Parameter q reprasentiert wird und diese Parameter {p, q, g} als offentliche Systeminforma- 
tion veroffentlicht werden, 

10 die G2-Funktionsmittel Mittel sind zur Berechnung der Information I* durch Durchfuhren von Si-maligen Gruppen- 
berechnungen des Parameters g unter Verwendung des Parameters p, und 

die (p-Funktionsmittel Mittel sind zur Berechnung der Information Xi durch Durchfu hrung von ri-maligen Gruppen- 
berechnungen des Parameters g unter Verwendung des Parameters p. 

22. Unterzeichnervorrichtung nach Anspruch 21, bei der p und q Primzahlen sind, fur die die Beziehung gilt 1 = p 
15 mod q und ein Grundelement von (Z/pZ)* durch a reprasentiert wird, 

der Parameter p = g durch folgende Gleichung mit der Funktion Gi gegeben ist: 

g = G l (q) = 0t ( P- iyt ' modp, 

20 die G2-Funktionsmittel Mittel sind zur Berechnung der Funktion G2 (sj, g) durch die folgende Gleichung: 
Ii = 0 2 (s L , g) = g s i modp 

die O-Funktionsmittel Mittel sind zur Berechnung der Funktion G> durch die folgende Gleichung: 

25 

Xi = Oft, g) = g r i mod p, und 

die Signaturfunktionsmittel Mittel sind zur Berechnung der Signaturfunktion Sgi durch die folgende Gleichung un- 
ter Verwendung von c ly d„ n, s ly q und y^: 

30 

= Sgi(ei, di, Si, r„ y^) = (yi-i + d^i + eiSi) mod q. 

23. Unterzeichnervorrichtung nach Anspruch 19, bei der, wenn p die Anzahl von Elementen einer Gruppe repra- 
sentiert, ein Element g der Gruppe, bei dem eine Gruppenberechnung beginnt, durch den Parameter (3 reprasentiert 

35 wird und eine ganze Zahl bei der, wenn das Element g q-mal gruppenberechnet wird, die Berechnung zu g zuriick- 
kehrt, durch den Parameter q reprasentiert wird, diese Parameter {p, q, g) als offentliche Systeminformation verof- 
fentlicht werden, 

die G2-Funktionsmittel Mittel sind zur Berechnung der Information J\ auf der Basis der Funktion G2(Si, g), durch 
Durchfuhren von Si-maligen Gruppenberechnungen des Parameters g unter Verwendung des Parameters p, und 
40 die O-Funktionsmittel Mittel sind zur Berechnung der Information Xj auf der Basis der Funktion O durch Durch- 
fuhren von ri-maligen Gruppenberechnungen des Parameters g unter Verwendung des Parameters p. 

24. Unterzeichnervorrichtung nach Anspruch 23, bei der p und q Primzahlen sind, fiir die die Beziehung gilt 1 = p 
mod q und ein Grundelement von (Z/pZ)* durch a reprasentiert wird, 

die Gi-Funktionsmittel zur Berechnung der Parameters P = g Mittel sind zur Berechnung von 

45 

g = G 1 (q) = a (p - ,yq modp; 

die G2-Funktionsmittel Mittel sind zur Berechnung der Funktion G2(Si, g) durch die folgende Gleichung: 
50 Ii = G 2 (si,g)=:g s imodp 

die O-Funktionsmittel Mittel sind zur Berechnung der Funktion <I> durch die folgende Gleichung: 
Xj = Oft, g) = g r i mod p, und 

55 

die Signaturfunktionsmittel Mittel sind zur Berechnung der Signaturfunktion Sgi durch die folgende Gleichung un- 
ter Verwendung von ei, di, rj, Si und q: 

yi = Sgife, di, si, rO = (d^ + e^sd mod q. 

60 

25. Unlcrzcichncrvorrichtung nach Anspruch 17 oder 18, bei der der Parameter q ein Parameter eines Dcfinitions- 
feldes GF(q) einer elliptischen Kurve E^ b (GF(q)) ist, und, wenn ein Basispunkt einer Ordnung k auf der elliptischen 
Kurve durch den Parameter p reprasentiert wird und ein Parameter der elliptischen Kurve durch a, b e GF(q), diese 
Parameter {q, a, b, P, k} als offentliche Systeminformation veroffentlicht werden, und bei der 

65 die G2-Funkuonsmittel Mittel sind zur Berechnung der Information Ij auf der Basis der Funktion G2(sj, P) durch 

Durchfuhren von Si-maligen Gruppenberechnungen des Parameters p, und 

die ^>-Funktionsmittel Mittel sind zur Berechnung der Information X\ auf der Basis der Funkuon O durch Durch- 
fuhren von ri-maligen Gruppenberechnungen des Parameters P 

30 
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26. Unterzeichnervorrichtung nach Anspruch 25, bei der der Parameter P = P auf der Basis der Funktion Gi durch 
die folgende Gleichung gegeben ist: 

Gi(q)=PeEa, b (GF(q)); 

5 

die G 2 -Funktionsmittel Mittel sind zur Berechnung der Funktion G2 (si, P) durch die folgende Gleichung: 
I i = G 2 (s i ,P) = s i PuberE a>b (GF(q)); 

die O-Funktionsmittel Mittel sind zur Berechnung der Funktion durch die folgende Gleichung: 10 
Xi = Ofe, P)= rjP liber E^CGFCq)); und 

die Signaturfunktionsmittel Mittel sind zur Berechnung der Signaturfunktion Sgi durch die folgende Gleichung un- 
ter Verwendung von ei, d^ r ly s t und yi_i: 15 

Yi = Sgifc, di, Sj, ri, yi_i) = (y M + dfi + e^ mod k. 

27. Unterzeichnervorrichtung nach Anspruch 19, bei der der Parameter q ein Parameter eines Definitionsfeldes 
GF(q) einer elliptischen Kurve E^b (GF(q)) ist, und, wenn ein Basispunkt einer Ordnung k auf der elliptischen 20 
Kurve durch den Parameter p reprasentiert wird und ein Parameter der elliptischen Kurve durch a, b e GF(q), diese 
Parameter {q, a, b, P, k} als offentliche Systeminformation veroffentlicht werden, und bei der: 

die G2-Funktionsmittel Mittel sind zur Berechnung der Information I* auf der Basis der Funktion G2(si, P) durch 
Durchfuhren von Sj-maligen Gruppenberechnungen des Parameters p, und 

die O-Funktionsmittel Mittel sind zur Berechnung der Information X { auf der Basis der Funktion <1> durch Durch- 25 
fiihren von r r maligen Gruppenberechnungen des Parameters P. 

28. Unterzeichnervorrichtung nach Anspruch 27, bei der: 

der Parameter p = P auf der Basis der Funktion Gi gegeben ist durch die folgenden Gleichung: 

Gi(q) = P e E^ b (GF(q)); 30 

die G2-Funktionsmittel Mittel sind zur Berechnung der Funktion G2(Si, P) durch die folgende Gleichung: 

Ii = G 2 (s L , P) = Si P uber E^GFCq)); 

35 

die O-Funktionsmittel Mittel sind zur Berechnung der Funktion <I> durch die folgende Gleichung; 



Xi = Oft, P) = rjP uber E^ (GF(q)), und 

die Signaturfunktionsmittel Mittel sind zur Berechnung der Signaturfunktion Sgi durch die folgende Gleichung un- 40 
ter Verwendung von ei, di, rj und si: 

Yi = Sgi(ei, dj, Si, rO = (dft + eiSi) mod k. 

29. Verifizierervorrichtung fur ein System, bei dem jeder einer Reihe von Unterzeichnem i = 1 bis L, wobei L eine 45 
ganze Zahl gleich oder groBer als zwei ist, eine digitale Signatur an einem in elektronischer Form vorliegenden Do- 
kument m\ anbringt und ein Verifizierer die digitale Signaturen der Unterzeichner en-bloc verifiziert, wobei Infor- 
mation enthaltend einen Parameter q fur jeden der Unterzeichner i zur Erzeugung einer Signaturfunktion Sgi und ein 
Parameter P= Gi(q), der unter Verwendung des Parameters q mit einer Funktion Gi erhalten wird, im voraus verof- 
fentlicht werden, umfassend 50 
ein Paar Einweg-Funktionsmittel zum Erhalt, aus offentlicher Information {n>„ Ii, fi, hi}, von Information Ij ent- 
sprechend Identifikationsinformation IDi, die in ID'l in Information {ID'l, X' l , m' L , y L ) enthalten ist, welche von 
dem letzten der Reihe von Unterzeichnem empfangen wird, 
sowie zum Erhalt von Einweg-Funktionen fj und hi und zur Berechnung von 

55 

ei = fi(X'i, m'i) 
di = hi(Xi,m'i) 

unter Verwendung der Einweg-Funktionen fj und hi und Information X'i und m'j, die in den empfangenen Informa- 60 
tionen X'l und m'^ enthalten ist, 

V-Funktionsmittel zum Erhalt von Xi in der Information X'i und zur Berechnung von 
Z' = V((Xi*dO, (Ii*ei)li:=l,...,L) 

65 

unter Verwendung der Funktion V, die eine Berechnung (Xi*di) von di und Xi sowie eine Berechnung (Ii*Ci) von c; 
und Ij enthalt, 

r-Funktionsmittel zum Erhalt von W = f(yi*p) durch eine Funktion T, die eine Berechnung (yj*p) von yi und P ent- 
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halt, und 

Vergleichsmiltel, die mitZ' und W beliefert wcrden fur einen Vergleich, ob diese miteinander ubcreinstirnmen, und, 
wenn sie miteinander ubereinstirnmen, zur Lieferung einer Ausgabe, die anzeigt, daB das empfangene Dokument 
(mi, . . ., mO von den L Unterzeichnervorrichtungen ordnungsgemaB unterzeichnet wurde. 

5 30. Verifizierervorrichtung fur ein System, bei dem jeder von Unterzeichnern i = 1 bis L, wobei L eine ganze Zahl 

gleich oder groBer als zwei ist, eine digitale Signatur an einem in elektronischer Form vorliegenden Dokument m\ 
anbringt und ein Verifizierer die digitalen Signaturen der Untcrzeichner en-bloc verifiziert, wobei Information ent- 
haltend einen Parameter q fur jeden der Unterzcichner i zur Erzeugung einer Signaturfunktion Sgi und ein Parameter 
P = Gi(q), der unter Verwendung des Parameters q mit einer Funktion Gi erhalten wird, im voraus veroffentlicht 

10 werden, umfassend 

ein PaarEinweg-Funktionsmittel zum Erhalt, aus offentlicher Information {ID} Ij f,, h*}, von Information I[ entspre- 
chend Identifikationsinformation ID*, die in TD\ in Information (ED'i, X\, m\, yi} enthalten ist, welche von den ein- 
zelnen Unterzeichnern i empfangen wird, sowie von Einweg-Funktionen fj und hi und zur Berechnung von 
e i =f i (X' i ,m' i ) 

15 

dj = h^X 1 }, m'j) 

unter Verwendung der Einweg-Funktionen und hi und der empfangenen Informationen X'i und m',; 
V-Funktionsmittel zum Erhalt von X\ in der Information X'i und zur Berechnung von 

20 

Z' = V((X i *d i ),ai*e i )li = l,...,L) 

unter Verwendung einer Funktion, die eine Berechnung (Xj*di) von d\ und X* sowie eine Berechnung (I^eO von ei 
und I; enthalt, 

25 T-Funktionsmittel zum Erhalt von W = T(Y*p) mittels einer Funktion T, die eine Berechnung (Y*p) unter Verwen- 

dung von p und eines akkumulierten Werts Y von yi bis y^ enthalt, und 

Vergleichsmittel, die mit Z' und W beliefert werden, um zu priifen, ob diese beiden iibereinstimmen, und, wenn sie 

miteinander iibereinstimmen, zur Lieferung einer Ausgabe, die anzeigt, daB das empfangene Dokument (mi, . . ., 

mj von L Unterzeichnern ordnungsgemaB unterzeichnet wurde. 
30 31. Verifizierervorrichtung nach Anspruch 29, bei der 

5Ci = (X'i_ lT Xi), 

m'i = (mVt m } , 

TD\ = <JD\„ ly TDd, 

X' 0 = leere Menge 
35 m'o = leere Menge 

ED'o=leere Menge 

yo = leere Menge. 

32. Verifizierervorrichtung nach Anspruch 31, bei der m'i = nu = m; m 2 = nvj . . . = oil = leere Menge und die Ve- 
rifizierervorrichtung unterzeichnete Information {E>l, Xl, mL, yU direkt von dem lelzten Unterzcichner L emp- 

40 fangt. 

33. Verifizierervorrichtung nach Anspruch 30, bei der X\ = Xi, m'i = mi, und ID'j = E>i. 

34. Verifizierervorrichtung nach Anspruch 31 oder 32, bei der ID'i = (ID'i_i, IDO ersetzt ist durch ID\ = (E>Vi, 10- 

35. Verifizierervorrichtung nach Anspruch 31 oder 32, bei der, wenn p die Anzahl von Elementen einer Gruppe re- 
prasentiert, ein Element g der Gruppe, bei dem eine Gruppenberechnung beginnt, durch den Parameter p reprasen- 

45 tiert wird und eine ganze Zahl, bei der, wenn das Element g q-mal gruppenberechnet wird, die Berechnung zu g zu- 

riickkehrt, durch den Parameter q reprasentiert wird und diese Parameter {p, q, g} als offentliche Systeminforma- 
tion veroffendicht werden, 

die V-Funktionsmittel Mittel sind zum Erhalt von Z' durch sequentielle Berechnung von Werten (Xi*d0, erhalten 
durch di-malige Muldkomponenten-Gruppenberechnungen von X ly und Werten (Ii*ei), erhalten durch ei-rnalige 
50 Multikomponenten-Gruppenberechnungen von Ii fur jedes i von 1 bis L, und 

die r-Funktionsmittel Mittel sind zum Erhalt von W durch Durchfuhren von yL-maligen Gruppenberechnungen des 
Parameters g unter Verwendung der empfangenen Information y L und der offentlichen Informationen p und q. 

36. Verifizierervorrichtung nach Anspruch 35, bei der p und q Primzahlen sind, fur die die Beziehung gilt 1 =p mod 
q, und, wenn a ein Grundelement von (Z/pZ)* reprasentiert, 

55 der Parameter P = g durch folgende Gleichung mit der Funktion Gi gegeben ist: 

g = G l (q) = a (p - iyq modp; 

die V-Funktionsmittel Mittel sind zur Berechnung der Funktion V durch die folgende Gleichung: 

60 

Z = V((Xi*di), (Ii*ci) I i = 1 , . . ., L) = X^I, 6 , . . . X L d L lL e L mod p, und 

die T-Funktionsmittel Mittel sind zur Berechnung der Funktion T durch die folgende Gleichung: 
65 W = T(yi*g) = g Y L mod p. 

37. Verifizierervorrichtung nach Anspruch 33, bei der, wenn p die Anzahl von Elementen einer Gruppe reprasen- 
tiert, ein Element g der Gruppe, bei dem eine Gruppenberechnung beginnt, durch den Parameter P reprasentiert wird 
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und eine ganze Zahl, bei der, wenn das Element g q-mal gruppenberechnet wird, die Berechnung zu g zuriickkehrt, 
durch den Parameter q reprasentiert wird und diese Parameter {p, q, g} als offentliche Systeminformation vcroffent- 
licht werden, 

die V-Funktionsmittel Mittel sind zum Erhalt von Z' durch sequentielle Berechnung von Vferten (X{*dO, erhalten 
durch di-malige Multikomponenten-Gruppenberechnungen von X lt und Werten (Ii*eO, erhalten durch ei-malige 5 
Multikomponenten-Gruppenberechnungen von t, fur jedes i von 1 bis L, und 

die r-Funktionsmittel Mittel sind zum Berechnen eines akkumulierten Werts Y unter Verwendung von L empfan- 
genen Informationen y\ und zur Erzeugung, als W, eines Wertes (g*Y), erhalten durch Y-maliges Berechnen des Pa- 
rameters g unter Verwendung von Y und der offentlichen Informationen p und q. 

38. Verifizierervorrichtung nach Anspruch 37, bei der p und q Primzahlen sind, fur die die Beziehung gilt 1 = p mod to 
q, und, wenn a ein Grundelement von (Z/pZ)* reprasentiert, 

der Parameter P = g durch folgende Gleichung mit der Funktion Gi gegeben ist: 

g = G 1 (q) = a (p - iyq modp; 

15 

die V-Funktionsmittel Mittel sind zur Berechnung der Funktion V durch die folgende Gleichung: 
Z' = V((Xi*di), (W 11=1 L) = XiWx . . . X L d u lL C L mod p, und 

die r-Funktionsmittel Mittel sind zur Berechnung des akkumulierten Werts Y durch folgende Gleichung: 20 
L 

Y=Z Yimodq 
i=l 

25 

und zur Berechnung der Funktion T durch die folgende Gleichung: 
W = T(Y*g) = mod p. 

39. Verifizierervorrichtung nach Anspruch 3 1 oder 32, bei der der Parameter q ein Parameter eines Definitionsfelds 30 
GF(q) einer elliptischen Kurve E at b(GF(q)) ist, und, wenn ein Basispunkt einer Ordnung k der elliptischen Kurve 
durch den Parameter P reprasentiert wird und ein Parameter der elliptischen Kurve durch a, b E GF(q), diese Para- 
meter {q, a, b, P, k} als offentliche Systeminformation veroffentlicht werden, und bei der 

die V-Funktionsmittel Mittel sind zum Erhalt von Z' durch sequentielle Berechnung von Wirten (Xj*dO, erhalten 
durch di-malige Multikomponenten-Gruppenberechnung von Xi, und Werten (Ii*ei), erhalten durch ei-malige Mul- 35 
tikomponenten-Gruppenberechnung von Ij, fur jedes i von 1 bis L, und 

die r-Funktionsrnittel Mittel sind zur Berechnung von W durch yL-malige Berechnungen des Parameters P auf der 
elliptischen Kurve unter Verwendung der empfangenen Information y L und der dffentlichen Information P. 

40. Verifizierervorrichtung nach Anspruch 39, bei der: 

die Funktion Gi zur Berechnung des Parameters P = P gegeben ist durch folgende Gleichung: 40 
G l (q) = PeE a , b (GF(q)); 

die V-Funktionsmittel Mittel sind zur Berechnung der Funktion V durch die folgende Gleichung: 

45 

Z' =V((Xi*di), (IM I i = 1 L) = (d t X t + . . . + d L X L + e l I l + . . . + eJJ uber E afb (GF(q)), und 

die r-Funktionsmittel Mittel sind zur Berechnung der Funktion T durch die folgende Gleichung: 

W = T(y L *P) = y L P uber E^GFCq)). 50 

41. Verifizierervorrichtung nach Anspruch 33, bei der der Parameter q ein Parameter eines Definitionsfelds GF(q) 
einer elliptischen Kurve Ea,b(GF(q)) ist, und, wenn ein Basispunkt einer Ordnung k auf der elliptischen Kurve durch 
den Parameter p reprasentiert wird und ein Parameter der elliptischen Kurve durch a, b e GF(q), diese Parameter 

{q, a, b, P, k} als offentliche Systeminformation veroffentlicht werden, und 55 
die V-Funktionsmittel Mittel sind zum Erhalt von Z' durch sequentielle Berechnung von Werten (Xj*dO, erhalten 
durch di-malige Multikomponenten-Gruppenberechnungen von Xi, und Werten (Ii*eO, erhalten durch ei-malige 
Multikomponenten-Gruppenberechnungen von Ij, fur jedes i von 1 bis L, und 

die r-Funktionsmittel Mittel sind zur Berechnung von W durch yL-malige Berechnungen des Parameters P auf der 
elliptischen Kurve unter Verwendung der empfangenen Information yL und der offentlichen Information R 60 

42. Verifizierervorrichtung nach Anspruch 41 , bei der die Funktion Gi zur Berechnung des Parameters P = P gege- 
ben ist durch folgende Gleichung: 

G l (q) = PeE a , b (GF(q)); 

65 

die V-Funktionsmittel Mittel sind zur Berechnung der Funktion V durch die folgende Gleichung: 
7! = V((Xi*di), (Ii*ei) I i = 1 , . . .L) = (d^ + . . . + d L X L + e^ + . . . + e^J uber E^CGFfq)), und 
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die r-Funktionsmittcl Mittel sind zur Berechnung der Funktion T durch die folgcnde Gleichung: 
W = T(Y*P) = YP iiber E^(GF(q)), 

5 

wobei 

L 

Y = J] Yj mod k. 
10 i=l 

43. Speichermediurn fiir eine Unterzeichnervorrichtung, auf dem ein Programm gespeichert ist, welches in der Un- 
terzeichnervorrichtung in einem System verwendet wird, bei dem: 

jeder einer Reihe von Unterzeichnern i eine digitale Signatur an einem in elektronischer Form vorliegenden Doku- 
ment m'i anbringt und ein Verifizierer die digitalen Signaturen en-bloc verifiziert, wobei i = 1,. . L und L eine 
ganze Zahl gleich oder groBer als zwei ist, Information enthaltend einen Parameter q fur jeden Unterzeichner i zur 
Erzeugung einer Signaturfunktion Sgi und einen Parameter P = Gi(q), der unter Verwendung des Parameters q mit 
einer Funktion Gi erhalten wird, vorab veroffentlicht wird, und Information Ij = G2(Si, P), vorab erzeugt von jedem 
Unterzeichner i unter Verwendung des offentlichen Parameters p und einer geheimen Zufallszahl Sj, ein Paar von 
Einweg-Funktionen £ und h* zur Verwendung durch den jeweiligen Unterzeichner i und Idenufikationsinformation 
E>i vorab als offentliche Unterzeichnerinformation {E>i, fi, hi) veroffentlicht werden, 
wobei das Programm die Schritte enthalt: 
a) Erzeugen einer zweiten Zufallszahl q, 

(b) Einsetzen des Parameters p und der zweiten Zufallszahl r\ in eine Funktion O zum Erzeugen von In- 
formation Xj = Ofo, p), 

(c) Erzeugen von 

ei = fi(Xi, m'O 

30 d i = h i (X , i ,m , i ) 

mit den Einweg-Funktionen £ und hj unter Verwendung von Dokumentinformation m'i enthaltend das zu 
unterzeichnende Dokument mi und der Information X'i enthaltend die Information Xi, 

(d) Erzeugen, fur Information enthaltend ei, di, Si, i\ und yn, einer Signatur 

35 

yi = Sgi(ei,di, Si, r ly y w ) 

mit einer Signaturfunktion Sgi, die unter Verwendung des Parameters q erzeugt wird, und 

(e) Senden von Information {ID'i, X'i, m'i, yd, enthaltend die Identifikationsin formation IDi als Identifi- 
kationsinformation ED'i, an den nachsten Unterzeichner (i+1), wobei der letzte Unterzeichner L die Infor- 
mation {ID'l, X'l, m l, yL} an den Verifizierer als letzte Bestimmung sendet. 

44. Speichermediurn fiir eine Unterzeichnervorrichtung, auf dem ein Programm gespeichert ist, das in der Unter- 
zeichnervorrichtung in einem System verwendet wird, bei dem: jeder von Unterzeichnern i eine digitale Signatur an 
einem in elektronischer Form vorliegenden Dokument m'i anbringt und ein Verifizierer die digitalen Signaturen en- 
bloc verifiziert, wobei i = 1, . . ., L und L eine ganze Zahl gleich oder groBer als zwei ist, wobei Information enthal- 
tend einen Parameter q fur jeden Unterzeichner i zur Erzeugung einer Signaturfunktion Sgi und ein Parameter p = 
Gi(q), der mit einer Funktion Gi unter Verwendung des Parameters q erhalten wird, vorab veroffentlicht werden, 
und Information Ij = G2(sj, p), vorab erzeugt durch den jeweiligen Unterzeichner i unter Verwendung des offentli- 
chen Parameters p und einer geheimen Zufallszahl sj, ein Paar von Einweg-Funktionen fi und hi zur Verwendung 
durch den jeweiligen Unterzeichner i und Identifikationsin formation ID-, als offentliche Unterzeichncrinformalion 
{ID i, Ii, 5, hi} vorab veroffentlicht werden, 
wobei das Programm die Schritte umfaBt: 

(a) Erzeugen einer zweiten Zufallszahl ri,. 

(b) Einsetzen des Parameters p und der zweiten Zufallszahl rj in eine Funktion O zum Erzeugen von Informa- 
tion Xj = <J>(ri, p), 

(c) Erzeugen von 

ei = fi(XV m'i) 

60 di = hi(X'i, m'i) 

mit den Einweg-Funktionen fi und hj unter Verwendung von Dokumentinformation m'i enthaltend das zu un- 
terzeichnende Dokument in und der Information X'i, 

(d) Erzeugen, fur Information enthaltend % d lf s u und rj, einer Signatur 
65 yi = Sgi(ei, d b Si, n) 

mit einer Signaturfunktion Sgi, die unter Verwendung des Parameters q erzeugt wird, und 

(e) Senden von Information {ID'i, X\, mV yi), enthaltend die Identifikationsinformation ED* als Idenufikati- 
onsinformauon ID'i 311 den Verifizierer. 
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45. Verfahren nach Anspruch 43, bei dem in dem Programm: 

m'i = (mVi, mO 
ID'i = (ID , u f mi)i 

X'o = leere Menge 5 
m'o = leere Menge 
TD 0 = leere Menge 
y 0 = 0, und 

der Unterzeichner i von dem Unterzeichner (i-1) unterzeichnete Information {rD\_i, XVi» niV-i yn } empfangt und 
dann die Schritte (a) bis (d) auf der Basis der empfangenen Information ausfuhrt. 10 

46. Speichermedium nach Anspruch 45, bei dem in dem Programm: = = m; m 2 = m 3 . . . = m L = leere 
Menge, und der Unterzeichner i von dem Unterzeichner (i-1) Information (ED'i_i, X'i_i, m, yi_i } empfangt und dann 
auf der Basis der empfangenen Information im Schritt (e) Information {ID\, X\, m, yj an den nachsten Unterzeich- 
ner (i+1) aussendet. 

47. Speichermedium nach Anspruch 44, bei dem in dem Programm: X\ = Xi, m'i = mj, und ID'i = JA; u nd der Un- 15 
terzeichner i die Schritte (a) bis (e) ausfuhrt und dadurch Information {IDi, Xi, yj} als die Information [ID'i, X'i, m'i, 

yi} erzeugt und einzeln an den Verifizierer sendet. 

48. Speichermedium nach Anspruch 45 oder 46, bei dem in dem Programm ID'i = (IDVb ©i) ersetzt wird durch 
ID^ODViJi). 

49. Speichermedium nach Anspruch 45 oder 46, bei dem in dem Programm: wenn die Anzahl von Elementen einer 20 
Gruppe mit p bezeichnet wird, ein Element g der Gruppe, bei dem eine Gruppenberechnung beginnt, durch den Pa- 
rameter P reprasentiert ist und eine ganze Zahl, bei der, wenn das Element g q-mal gruppenberechnet wird, die 
Rechnung zu g zuriickkehrt, durch den Parameter q reprasentiert wird, diese Parameter {p, q, g} als offentliche Sy- 
steminformation veroffentlicht werden, 

die Information Ij vorab durch Si-malige Gruppenberechnung des Parameters g unter Verwendung des Parameters p 25 
durchgefuhrt wird, und 

der Schritt (b) ein Schritt ist zum Erhalt von Xj durch ri-malige Gruppenberechnungen des Parameters g unter Ver- 
wendung des Parameters p. 

50. Speichermedium nach Anspruch 49, bei dem in dem Programm: p und q Primzahlcn sind, zwischen denen die 
Beziehung 1 = p mod q gilt, und, wenn ein Grundelement von (Z/pZ)* durch a reprasentiert wird, 30 
der Parameter |} = g vorab mit der Funktion Gi durch folgende Gleichung gegeben ist: 

g = Gi(q) = ct {p - 1Vq mod p; 

die Information Ii vorab mit der Funktion G2 durch folgende Gleichung gegeben ist: 35 
Ii = G 2 (si, g) = s i mod p; 

Schritt (d) ein Schritt der Berechnung der Information Xi mit der Funktion O durch folgende Gleichung ist: 
Xi = 0(n, g) = gi mod p, und 

Schritt (d) ein Schritt der Berechnung der Signaturfunktion Sgi durch folgende Gleichung unter Verwendung von ei, 
yi = Sgifo di, Si, yn) = (yn + d^ + ejSi) mod q. 
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51. Speichermedium nach Anspruch 47, bei dem in dem Programm: wenn man die Anzahl von Elementen einer 
Gruppe mit p bezeichnet, ein Element g der Gruppe, bei dem eine Gruppenberechnung beginnt, durch den Parame- 
ter p reprasentiert wird und eine ganze Zahl, bei der, wenn das Element g q-mal gruppenberechnet wird, die Rech- 50 
nung zu g zuriickkehrt, durch den Parameter q reprasentiert wird, diese Parameter {p, q, g} als offentliche System- 
information veroffentlicht werden, 

die Information Ij vorab mit der Funktion G2(Si, g) durch s-malige Gruppenberechnungen von g unter Verwendung 
von p erhalten wird, und 

Schritt (b) ein Schritt zum Erhalt der Information X mit der Funktion ^>(n, g) durch rj-malige Gruppenberechnungen 55 
von g unter Verwendung von p ist. 

52. Speichermedium nach Anspruch 51, bei dem in dem Programm: p und q Primzahlen sind, zwischen denen die 
Beziehung gilt 1 = p mod q, und, wenn ein Grundelement von (Z/pZ)* durch a reprasentiert wird, 

der Parameter |J = g vorab mit der Funktion Gi durch folgende Gleichung gegeben ist: 

60 

g = Gi(q) = a (p - iyt, modp, 

die Information Ij vorab mit der Funktion G2 durch folgende Gleichung gegeben ist: 

Ii = G 2 (Si, g) = g s i mod p, 65 
Schritt (b) ein Schritt der Berechnung der Information Xj mit der Funktion <J> durch folgende Gleichung ist: 
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Xi = #(ri,g) = g r imodp, und 

Schritt (d) ein Schritt der Berechnung der Signaturfunktion Sgi durch folgende Gleichung unter Verwendung von ej, 
di, ri, si und q ist: 

5 

yi = Sgi(ei, di, Si, rO = (d^ + eisO mod q. 

53. Speichermedium nach Anspruch 45 oder 46, bci dem in dem Programm: der Parameter q cin Parameter eines 
Definitionsfeldes GF(q) einer elliptischen Kurve E^ (GF(q)) ist, und, wenn ein Basispunkt einer Ordnung k auf der 

10 elliptischen Kurve durch den Parameter p reprasentiert ist und ein Parameter der elliptischen Kurve durch a, b e 
GF(q), diese Parameter {q, a, b, P, k} als offentliche Systeminformation verorTentlicht werden, und bei dem 
die Information l\ vorab mit der Funktion G2 (si, P) durch Durchruhren von Si-maligen Gruppenberechnungen des 
Parameters P erhalten wird, und 

Schritt (b) ein Schritt zum Erhalt der Information X\ mit der Funktion O durch Durchruhren von rj-maligen Grup- 
15 penberechnungen des Parameters P ist. 

54. Speichermedium nach Anspruch 53, bei dem in dem Programm: der Parameter p = P auf der Basis der Funktion 
Gi durch folgende Gleichung gegeben ist: 

G 1 (q) = PeE a , b (GF(q)), 

20 

die Information Ii mit der Funktion G2 durch folgende Gleichung errechnet wird: 
Ii = G 2 (Si, P) = Si P liber Ea, b (GF(q)), 
25 Schritt (b) ein Schritt der Berechnung der Information Xj mit der Funktion O durch folgende Gleichung ist: 

X! = Ofo, P) = nP uber Ea, b (GF(q)), und 

Schritt (d) ein Schritt der Berechnung der Signaturfunktion Sgi durch die folgende Gleichung unter Verwendung 
30 von ei, di, r i? sj und y t _i ist: 

Yi = Sgfe di, Si, rj, y^) = (y^ + d^ + e L Si) mod k. 

55. Speichermedium nach Anspruch 47, bei dem in dem Programm: der Parameter q ein Parameter eines Definiti- 
35 onsfeldes GF(q) einer elliptischen Kurve Ea, b (GF(q)) ist, und, wenn ein Basispunkt einer Ordnung k auf der ellipti- 
schen Kurve durch den Parameter p reprasentiert ist und ein Parameter der elliptischen Kurve durch a, b e GF(q), 
diese Parameter {g, a, b, P, k} als offentliche Systeminformation veroffentiicht werden, und bei dem 

die Information Ii vorab mit der Funktion G2(Si, P) erhalten wird durch Durchruhren von sj-malige Gruppenberech- 
nungen des Parameters P, und 

40 Schritt (b) ein Schritt zum Erhalt der Information Xi mit der Funktion O durch Durchruhren von rj-maligen Grup- 
penberechnungen des Parameters P ist. 

56. Speichermedium nach Anspruch 55, bei dem in dem Programm: der Parameter p = P gegeben ist auf der Basis 
der Funktion Gi durch die folgende Gleichung: 

45 Gi(q) = P 6 Eaj,(GF(q)), 

die Information 1\ mit der Funktion G2 durch die folgende Gleichung berechnet wird: 

Ii = G 2 (Si, P) = SiP uber Ea, b (GF(q)), 

50 

Schritt (b) ein Schritt der Berechnung der Information X\ mit der Funktion <P durch folgende Gleichung ist: 

Xi = Ofc, P) = nP uber Ea, b (GF(q)), und 

55 Schritt (d) ein Schritt der Berechnung der Signaturfunktion Sgi unter Verwendung von e^ d i? rj und sj unter Verwen- 

dung der folgenden Gleichung ist: 

y» = Sgi(ei, dj, Si, ri) = (d^ + ^sd mod k. 

60 57. Speichermedium fur eine Verifizierervorrichtung, auf dem ein Programm gespeichert ist, das in der \erifizie- 

rervorrichtung in cinem System verwendet wird, bei dem: jcder einer Reihe von Unterzeichncrn i cine digitale Si- 
gnatur an einem in elektronischer Form vorliegenden Dokument m\ anbringt und ein Verifizierer die digitalen Si- 
gnaturen en-bloc verifiziert, wobei i = 1, . . L und L eine ganze Zahl gleich oder groBer als zwei ist, und Informa- 
tion enthaltend einen Parameter q fur jeden Unterzeichner i zur Erzeugung einer Signaturfunktion Sgi und einen Pa- 

65 rameter p = Gi(q), der mil einer Funktion Gi unter Verwendung des Parameters q erhalten wird, vorab veroffentlicht 

wird, 

wobei das Programm die Schritte umfaBt: 

(a) Gewinnen, aus offentlicher Information {IDi, Ij, fj, hj}, von Information Ii entsprechend Identifikationsin- 
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formation K>i, die in Information ID'i in Information {ID l, X^, hi'l, y L } enthalten ist, welche von dem letzten 
Unterzeichner L der Reihc von Unterzeichnem einpfangcn wird, sowie von Einweg-Funktionen fi und hj, und 
Berechnen von 

e i = f i (X , i ,m' i ) 5 
di = hi(X'i, m'i) 

i 

unter Verwendung der Einweg-Funktionen fj und hj sowie von Information X\ und m'i, die in den empfangenen 
Informationen X'l und m'L enthalten sind, 10 

(b) Gewinnen von X\ aus der Information X\ und Berechnen von 

Z^VKX^a^li^l,...,^ 

durch eine Funktion V, enthaltend eine Berechnung von (Xi*di) aus di und Xj sowie eine Berechnung von 15 
(Ii*ei) aus e* und Ij; 

(c) Gewinnen von W = T((yi*p)) durch eine Funktion T, enthaltend eine Berechnung von (yi*P). aus y* und B; 
und 

(d) Empfangen der Werte Z' und W und anschlieBendes Priifen, ob sie ubereinsummen, und, wenn sie iiber- 
einstimmen, Liefern einer Ausgabe, die anzeigt, daB die empfangenen Dokumente (mi, . . ., mj von den L Un- 20 
terzeichnern ordnungsgemaB unterzeichnet wurden. 

58. Speichermedium fiir eine Verifizierervorrichtung, auf dem ein Programm gespeichert ist, welches in der Verifi- 
zierervorrichtung in einem System verwendet wird, bei dem: jeder von Unterzeichnem i eine digitale Signatur an ei- 
nem in elektronischer Form vorliegenden Dokument m'j anbringt und ein Veriflzierer die digitalen Signaturen en- 
bloc verifiziert, wobei i = 1, . . ., L und L eine ganze Zahl gleich oder groBer als zwei ist, und wobei Information ent- 25 
haltend einen Parameter q fur jeden Unterzeichner i zur Erzeugung einer Signaturfunktion Sgj und ein Parameter J$ 

= Gi(q), der unter Verwendung des Parameters q mit einer Funktion Gi erhalten wird, vorab verofFendicht werden, 
wobei das Programm die Schritte umfaBt: 

(a) Gewinnen, aus offentlicher Information {EDi, Ii, fi, hj}, von Information Ii entsprechend Identifikationsin- 
formation IDi, die in ID'i in der Information {ID'j, X'j, m'i, y\] enthalten ist, die von jedem der Unterzeichner i 30 
empfangen wird, sowie von Einweg-Funktionen fi und hi und Berechnen von 

ei =fi(X'i, m'i) 

di = hi(X'i, m'i) 35 

unter Verwendung der Einweg-Funktionen fj und hi und den empfangenen Informationen X\ und m'i; 

(b) Gewinnen von Xi in der Information X'i und Berechnen von 

Z' = V((X i *d i ),ai*e i )li = l,...,L) 40 

durch eine Funktion V, enthaltend eine Berechnung von (Xj*di) aus d{ und X\ und eine Berechnung von (Ii*eJ 
aus et und If, 

(c) Gewinnen von W = T(Y*p) durch eine Funktion T, enthaltend eine Berechnung von (Y*P) unter Verwen- 
dung von p und eines akkumulierten Werts Y aus y; bis yL, und 45 

(d) Empfangen der Werte Z* und W und anschlieBendes Priifen, ob sie ubereinstimmen, und, falls sie uberein- 
stimmen, Liefern einer Ausgabe, die anzeigt, daB die empfangenen Dokumente (mi, . . mj von L Unter- 
zeichnem ordnungsgemaB unterzeichnet wurden. 

59. Speichermedium nach Anspruch 57, bei dem in dem Programm: 

X t i = (X'i. 1 ,X i ), 50 
m'i = (m'i_t,mi), 
ID'i = (IDVi, IDO, 
Xo = leere Menge 
m'o = leere Menge 

ID'o = leere Menge 55 
y 0 = 0, und, 

wenn der Veriflzierer unterzeichnete Information {ID'l, X'l, m*L, yL} von dem letzten Unterzeichner L empfangt, 
der Verifizierer die Schritte (a) bis (d) auf der Basis der empfangenen Information ausfuhrt. 

60. Speichermedium nach Anspruch 59, bei dem in dem Programm: m'i = mi = m; m2 = 1113 . . . = rriL = leere 
Menge, und der Verifizierer unterzeichnete Information {ID'l, X*l> m, y^) von dem Unterzeichner!, empfangt und 60 
die Schritte (a) bis (d) auf der Basis der empfangenen Information ausfuhrt. 

61. Speichermedium nach Anspruch 58, bei dem in dem Programm: X\ = Xi, m'i = mj, und ID'i = IDi; und der Ve- 
rifizierer unterzeichnete Information {IDi, Xi, mi, yi} gesondert von jedem einzelnen Unterzeichner i empfangt und 
die Schritte (a) bis (d) ausfuhrt. 

62. Speichermedium nach Anspruch 59 oder 60, bei dem in dem Programm ID'i = (JD'i-b Ity) ersetzt ist durch ID'i= 65 
(IDUIi). 

63. Speichermedium nach Anspruch 59 oder 60, bei dem in dem Programm, wenn die Anzahl von Elementen einer 
Gruppe mit p bezeichnet wird, ein Element g der Gruppe, bei dem eine Gruppenberechnung beginnt, durch den Pa- 
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rameter p reprasentiert wird und, eine ganze Zahl bei der, wenn das Element g q-mal gruppenberechnet wird, die 
Rechnung zu g zuriickkehrt, durch den Parameter q reprasentiert wird und diese Parameter {p, q, g} als offcntliche 
Systeminformation veroffentlicht werden, 

der Schritt (b) ein Schritt zum Erhalt von Z' durch sequentielle Berechnung von Werten (Xj*di), erhalten durch di- 
5 malige Multikomponenten-Gruppenberechnungen von X\ und Werten (Ii*ei), erhalten durch ei-malige Multikompo- 
nenten-Gruppenberechnungen von Ii, fur jedes i von 1 bis L ist, und 

der Schritt (c) ein Schritt ist zum Erhalt von W durch Durchfuhrcn von y L -maligcn Gruppenberechnungen des Pa- 
rameters g unter Verwcndung des cmpfangenen vl und der offentlichen Informationen p und q. 

64. Speichermedium nach Anspruch 63, bei dem in dem Programm: p und q Primzahlen sind, fur die die Beziehung 
to gilt 1 = p mod q, und, wenn ein Grundelement von (Z/pZ)q> durch a reprasentiert wird, 

der Parameter p = g im voraus gegeben ist durch die folgende Gleichung mit der Funktion d: 

g = G 1 (q) = a (p - 1Vq modp, 
15 Schritt (b) ein Schritt ist zur Berechnung der Funktion V durch die Gleichung: 
X = V((Xi*di), ft'et) I i = 1, . . ., L) = X 1 d l I 1 e l . . . X L d L I L e L mod p, und 
Schritt (c) ein Schritt ist der Berechnung der Funktion T durch die folgende Gleichung: 

20 

W = r( yi *g) = g y L modp. 

65. Speichermedium nach Anspruch 61, bei dem in dem Programm, wenn die Anzahl von Elementen einer Gruppe 
mit p bezeichnet wird, ein Element g der Gruppe, bei dem eine Gruppenberechnung beginnt, durch den Parameter p 

25 reprasentiert wird und eine ganze Zahl bei der, wenn das Element g q-mal gruppenberechnet wird, die Rechnung zu 
g zuriickkehrt, durch den Parameter q reprasentiert wird, diese Parameter {p, q, g} als bfFentliche Systeminforma- 
tion veroffentlicht werden, 

Schritt (b) ein Schritt ist zum Erhalt von Z' durch sequentielles Berechncn von Werten (X^dJ, erhalten durch d^- ma- 
lige Multikomponenten-Gruppenberechnungen von Xj, und Werten (Ii*Ci), erhalten durch ei-malige Multikompo- 
30 nenten-Gruppenberechnungen von Ii, fur jedes i von 1 bis L, und 

Schritt (c) ein Schritt ist der Berechnung eines akkumulierten Werts Y unter Verwendung von L empfangenen In- 
formationen yi und der offentlichen Information q, sowie der Berechnung, als W, eines Werts (g*Y), der erhalten 
wird durch Y-maliges Operieren oder Berechnen des Parameters g unter Verwendung der offentlichen Informatio- 
nen p und q. 

35 66. Speichermedium nach Anspruch 65, bei dem in dem Programm: p und q Primzahlen sind, fur die die Beziehung 
gilt 1 = p mod q, und, wenn ein Grundelement von (Z/pZ)* durch a reprasentiert wird, 
der Parameter p = g gegeben ist durch die folgende Gleichung mit der Funktion Gi: 

g = Gi(q) = a (p * iyq mod p, 

40 

Schritt (b) ein Schritt der Berechnung der Funktion V durch die folgende Gleichung ist: 

Z' = V((Xi*di), (Ii*eO I i = 1 L) = Xi d il! e i . . . X L d L I L e L mod p, und 

45 Schritt (c) ein Schritt ist zur Berechnung des akkumulierten Werts Y durch 

L 

Y = X Yimodq, 

/=i 

50 

und Berechnen der Funktion T durch die folgende Gleichung: 
W = r(Y*g) = g* mod p. 

55 67. Speichermedium nach Anspruch 59 oder 60, bei dem in dem Programm: der Parameter q ein Parameter eines 

Definitionsfeldes GF(q) einer elliptischen Kurve E^bCGFCq)) ist, und, wenn ein Basispunkt einer Ordnung k auf der 
elliptischen Kurve durch den Parameter p reprasentiert wird und ein Parameter der elliptischen Kurve durch a,b€ 
GF(q), diese Parameter (q, a, b, P, k} als offentliche Systeminformation veroffentlicht werden, und wobei: 
Schritt (b) ein Schritt ist zum Erhalt von Z* durch sequentielle Berechnung von Werten (Xi*dj), erhalten durch di- 

60 malige Multikomponenten-Gruppenberechnungen von X{, und Werten (T^eO, erhalten durch ei-malige Multikom- 

ponenten-Gruppenberechnungen von Ij, fur jedes i von 1 bis L, und 

Schritt (c) ein Schritt ist zur Berechnung von W durch yL-malige Berechnungen des Parameters P auf der ellipti- 
schen Kurve unter Verwendung der empfangenen Information vl und der offentlichen Information P. 
68. Speichermedium nach Anspruch 67, bei dem in dem Programm: die Funktion Gi zur Berechnung des Parame- 
65 ters p = P im voraus gegeben ist durch die folgende Gleichung: 

G 1 (q) = PeE a , b (GF(q)), 
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Schritt (b) ein Schritt ist der Berechnung der Funktion V durch die folgende Gleichung: 



Z = V((Xi*di), (l*c{) I i = 1, . . ., L) = (d{K x + . . . + d L X L + e,I, + . . . + cJJ uber E a , b (GF(q)), und 



Schritt (c) ein Schritt ist der Berechnung der Funktion T durch die folgende Gleichung: 



5 



W = T(y L *P) = y L P uber Iv,(GF(q)). 

69. Speichermedium nach Anspruch 61, bei dem in dem Programm: der Parameter q ein Parameter eines Definiti- 
onsfeldes GF(q) einer elliptischen Kurve Ea, b (GF(q)) ist, und, wenn ein Basispunkt einer Ordnung k auf der ellipti- 10 
schen Kurve durch den Parameter p reprasentiert wird und ein Parameter der elliptischen Kurve durch a, b e 
GF(q), diese Parameter {q, a, b, P, k} als offentliche Systeminformation veroffentlicht werden, und bei dem: 

Schritt (b) ein Schritt ist zum Erhalten von Z durch sequentielle Berechnung von Werten (Xj*di), erhalten durch dj- 
rnalige Multikomponenten-Gruppenberechnungen von Xj und Werten (Ii*ei), erhalten durch ei-maligeMultikompo- 
nenten-Gruppenberechnungen von 1\, fur jedes i von 1 bis L, und is 
Schritt (c) ein Schritt der Berechnung von W ist durch y L -malige Berechnungen des Parameters P auf der ellipti- 
schen Kurve unter Verwendung der empfangenen Information vl und der offentlichen Information P 

70. Speichermedium nach Anspruch 69, bei dem in dem Programm: die Funktion Gi zur Berechnung des Parame- 
ters p = P im voraus gegeben ist durch die folgende Gleichung: 



20 



G l (q)=PeE, b (GF(q)), 



Schritt (b) ein Schritt der Berechnung der Funktion V durch die folgende Gleichung ist: 



Z = V((Xi*dD, (Ii*ei) I i = 1 L) = (d L X! + . . . + d L X L + ei l! + . . . + e L ±L) uber E^ b (GF(q)), und 

Schritt (c) ein Schritt der Berechnung der Funktion T durch die folgende Gleichung ist: 



25 



W = r(Y*P) = YP uber E a , b (GF(q)> 



wobei 



30 



I 
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